分析:大数据分析重新定义恶意软件策略

在与恶意软件的战争中,良好的情报一直是决定性因素。但威胁乘以指数,分析信息可能变得和收集它一样的重要。
未来的反恶意软件是一个悬而未决的问题。由于产生的恶意软件数量日益庞大,在过去应对感染最常见的处理方法——基于签名的文件扫描,正变得越来越无效。但尚无一个更好的策略,很多企业的防病毒产品仍然在很大程度上依赖于它。
但是事情正在发生变化。杀毒软件厂商都开始实现保持探索提前预知恶意软件的动向(或至少紧跟在它们不太远的后面),更深入地追踪恶意软件——它正在做什么,它从哪儿来,它希望得到什么,预测未来它可能在哪里涌现,都是必要的。
多伦多的安全咨询和托管服务提供商 Sentry Metrics 公司首席执行官 Dave Millier 说,许多厂商都不再注重未来“一次一个(one at a time)”的威胁,而是开始收集数据,并推测在将来的更广泛的趋势。他表示,是相对较新的技术,使这一切成为可能。
“你看到更多的数据收集发生在网络层面,在那里你正在从安全角度尝试使用大量的信息,我们过去没有能够使用。”
与他一起工作的供应商之一是Sourcefire,该公司已经基本上开始将查看恶意软件当成是一个“大数据”的问题。Sourcefire公司最近推出了一款基于云的企业安全产品,名为FireAMP,以查看“模糊(fuzzier)”恶意软件签名扩大安全网,更广泛的全球模式监测可疑活动。FireAMP还使用Sourcefire称为“机器学习(machine learning)”的方式,为潜在威胁的可能属性建立模型。
值得注意的是,FireAMP能够回顾在网络上的爆发期间发生的事情,不管出于企业安全的目的,还是出于法律原因,这都是一项重要功能。
“我们的重点已经做出重大的转变,通过我们基于云的平台切入我们称之为端点的斗争记录,”Sourcefire云技术集团高级副总裁 Oliver Friedrichs 说,“我们基本上是跨端点记录文件的活动,能够在云中存储文件活动的防篡改记录。”
通过FireAMP,他说,连接器安装在终端,每当用户安装或执行应用程序,将数据发送到云中。
“在未来,如果有违反,我们可以告诉你威胁实际上从哪里进来,它到哪里去,patient zero(第一传染源)是谁,例如,第一个人受到感染,这种威胁实际上如何传播和造成多大的伤害。”
另一个反恶意软件厂商,趋势科技公司,也投资于新的情报能力,利用云基础设施和在线社区的力量。趋势科技公司在加拿大的产品和服务总监 Tom Moss ,介绍了一个“以火救火战略(fight fire with fire strategy)。”
“僵尸控制器是一种云的使用方式,或使用互联网控制大量的机器,”他说,“我们利用的机器和网络,我们的客户收集有关恶意软件如何行为,正在试图和谁沟通的情报。”
还是在这里,收集数据供日后分析。趋势科技运行一种感染源的背景检查,他说:“这个域名在哪里注册?这个人曾经注册过什么样的域名?与这些域名相关联的地址变化有多频繁?”
Millier 说,分析正在成为对恶意软件的斗争的一部分,IT安全行业同样面临着和其他人一样的大数据的挑战。把大量的数据带到一个地方监视,是一个健全的战略,他说,但很难进行有意义的分析,对大量的原始资料。
“为了能够有效触发,为了能够有效地通过搜索,它确实需要被索引,并且需要进行排序,”Millier说,“因此你失去以非结构化保持灵活性的办法。”
Millier说,总体而言,我们正在使用的安全数据收集和分析的各种工具,已在近几年大大改善,情报的深度和广度是大得多。
“你得到在网络中实际上发生的事情,你在系统层面看到它,你在网络层面看到它,你在防火墙看它,甚至在应用程序层面看它,当然能够更快更好地识别威胁。”