大數據分析從新定義惡意軟件策略

大數據分析從新定義惡意軟件策略

在與惡意軟件的戰爭中，良好的情報一直是決定性因素。但威脅乘以指數，"數據分析師"分析信息可能變得和收集它同樣的重要。

 

 

將來的反惡意軟件是一個懸而未決的問題。因爲產生的惡意軟件數量日益龐大，在過去應對感染最多見的處理方法——基於簽名的文件掃描，正變得愈來愈無效。但尚無一個更好的策略，不少企業的防病毒產品仍然在很大程度上依賴於它。

可是事情正在發生變化。殺毒軟件廠商都開始實現保持探索提早預知惡意軟件的動向(或至少緊跟在它們不太遠的後面)，更深刻地追蹤惡意軟件——它正在作什麼，它從哪兒來，它但願獲得什麼，預測將來它可能在哪裏涌現，都是必要的。

多倫多的安全諮詢和託管服務提供商 Sentry Metrics 公司首席執行官 Dave Millier 說，許多廠商都再也不注重將來「一次一個(one at a time)」的威脅，而是開始收集數據，並推測在未來的更普遍的趨勢。他表示，是相對較新的技術，使這一切成爲可能。

「你看到更多的數據收集發生在網絡層面，在那裏你正在從安全角度嘗試使用大量的信息，咱們過去沒有可以使用。」

與他一塊兒工做的供應商之一是Sourcefire，該公司已經基本上開始將查看惡意軟件當成是一個「大數據」的問題。Sourcefire公司最近推出了一款基於雲的企業安全產品，名爲FireAMP，以查看「模糊(fuzzier)」惡意軟件簽名擴大安全網，更普遍的全球模式監測可疑活動。FireAMP還使用Sourcefire稱爲「機器學習(machine learning)」的方式，爲潛在威脅的可能屬性創建模型。

值得注意的是，FireAMP可以回顧在網絡上的爆發期間發生的事情，無論出於企業安全的目的，仍是出於法律緣由，這都是一項重要功能。

「咱們的重點已經作出重大的轉變，經過咱們基於雲的平臺切入咱們稱之爲端點的鬥爭記錄，」Sourcefire雲技術集團高級副總裁 Oliver Friedrichs 說，「咱們基本上是跨端點記錄文件的活動，可以在雲中存儲文件活動的防篡改記錄。」

經過FireAMP，他說，鏈接器安裝在終端，每當用戶安裝或執行應用程序，將數據發送到雲中。

「在將來，若是有違反，咱們能夠告訴你威脅實際上從哪裏進來，它到哪裏去，patient zero(第一傳染源)是誰，例如，第一我的受到感染，這種威脅實際上如何傳播和形成多大的傷害。」

另外一個反惡意軟件廠商，趨勢科技公司，也投資於新的情報能力，利用雲基礎設施和在線社區的力量。趨勢科技公司在加拿大的產品和服務總監 Tom Moss ，介紹了一個「以火救火戰略(fight fire with fire strategy)。」

「殭屍控制器是一種雲的使用方式，或使用互聯網控制大量的機器，」他說，「咱們利用的機器和網絡，咱們的客戶收集有關惡意軟件如何行爲，正在試圖和誰溝通的情報。」

仍是在這裏，"數據分析師"收集數據供往後分析。趨勢科技運行一種感染源的背景檢查，他說：「這個域名在哪裏註冊?這我的曾經註冊過什麼樣的域名?與這些域名相關聯的地址變化有多頻繁?」

Millier 說，分析正在成爲對惡意軟件的鬥爭的一部分，IT安全行業一樣面臨着和其餘人同樣的大數據的挑戰。把大量的數據帶到一個地方監視，是一個健全的戰略，他說，但很難進行有意義的分析，對大量的原始資料。

「爲了可以有效觸發，爲了可以有效地經過搜索，它確實須要被索引，而且須要進行排序，」Millier說，「所以你失去以非結構化保持靈活性的辦法。」

Millier說，整體而言，咱們正在使用的安全數據收集和分析的各類工具，已在近幾年大大改善，情報的深度和廣度是大得多。

「你獲得在網絡中實際上發生的事情，你在系統層面看到它，你在網絡層面看到它，你在防火牆看它，甚至在應用程序層面看它，固然可以更快更好地識別威脅。」http://www.cda.cn/view/16488.html