導(dǎo)讀：基于簽名的反惡意軟件無法檢測(cè)出自定義惡意軟件和高級(jí)持續(xù)性威脅。安全專家Nick Lewis和大家介紹了如何抵御這些威脅。

Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負(fù)責(zé)風(fēng)險(xiǎn)管理項(xiàng)目，并支持該項(xiàng)目的技術(shù)PCI法規(guī)遵從計(jì)劃。2002年，Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年，又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級(jí)兒科教學(xué)醫(yī)院，以及Internet2和密歇根州立大學(xué)工作。

最近的一項(xiàng)測(cè)試顯示，有些知名威脅檢測(cè)產(chǎn)品無法檢測(cè)出自定義惡意軟件。如果說這些系統(tǒng)沒有用，企業(yè)是否仍然應(yīng)該將它們加入到防御計(jì)劃中?對(duì)于高級(jí)持續(xù)性威脅檢測(cè)和防御，企業(yè)應(yīng)該使用什么其他類型的技術(shù)和方法?

目前業(yè)界的共識(shí)是，舊的基于簽名的反惡意軟件工具無法抵御有針對(duì)性攻擊，或者使用不具有簽名的惡意軟件的攻擊。反惡意軟件行業(yè)很早前就意識(shí)到單靠簽名不足以保護(hù)其客戶;為此，他們開始添加啟發(fā)式、異常檢測(cè)和其他功能(例如基于主機(jī)的入侵保護(hù)系統(tǒng))。很多供應(yīng)商表示他們的新功能可以抵御高級(jí)持續(xù)性威脅(APT)或者有針對(duì)性攻擊。

目前安全行業(yè)正在改進(jìn)新功能以抵御不斷變化的攻擊。獨(dú)立研究機(jī)構(gòu)MRG Effitas和CrySys實(shí)驗(yàn)室在2014年11月發(fā)布的技術(shù)報(bào)告(以及其他類似報(bào)告)可以幫助企業(yè)了解當(dāng)前系統(tǒng)的局限性，從而做出改進(jìn)。在企業(yè)確定工具是否適合其環(huán)境以及提高流程效率時(shí)，可以參考這些獨(dú)立測(cè)試結(jié)果。

企業(yè)需要評(píng)估安全工具在其環(huán)境中如何運(yùn)作;對(duì)于APT工具，這可能需要比標(biāo)準(zhǔn)供應(yīng)商30天評(píng)估更長(zhǎng)的時(shí)間，但企業(yè)必須相信其選擇的工具將提供相應(yīng)的功能和價(jià)值。

MRG Effitas和CrySyS實(shí)驗(yàn)室報(bào)告提醒讀者，反APT工具的功能并非完全相同，可能在企業(yè)環(huán)境中無法互換。安全團(tuán)隊(duì)?wèi)?yīng)該評(píng)估反APT工具是否適合其現(xiàn)有信息安全計(jì)劃，并確定它將如何與其內(nèi)部系統(tǒng)整合。他們還可以使用其企業(yè)環(huán)境的真正攻擊數(shù)據(jù)來評(píng)估工具是否以及如何抵御攻擊。

如果企業(yè)選擇基于網(wǎng)絡(luò)的反APT工具，還應(yīng)該評(píng)估其他保護(hù)措施，例如端點(diǎn)反惡意軟件、白名單和主機(jī)入侵檢測(cè)保護(hù)工具，看看它們是否可以補(bǔ)充反APT工具。還要注意的是，還需要更新內(nèi)部監(jiān)控工具、日志分析、基于主機(jī)的入侵檢測(cè)和其他技術(shù)來檢測(cè)和低于現(xiàn)有威脅媒介。