随着恶意软件攻击变得越来越复杂和难以捉摸,安全公司必须以更高的智慧,灵活性和速度加以应对。这也是SophosLabs不断努力的目标。
曾几何时,防病毒软件公司的注意力主要集中在识别与恶意软件相关的签名上。然后攻击者发动多态攻击在每台被感染的计算机上生成恶意软件的唯一版本,从而使得静态检测的效果大打折扣。一些多态攻击很容易规避。举例来说,电子邮件过滤基本可以预防通过电子邮件附件方式传送的攻击。但是就当下而言最危险的攻击都是由分布在整个网络中的复杂攻击链组件组成的。从今年的报告来看,他们已经采用了">功能强大的新技术来抵御检测。
我们采用集成数个保护层的方式作为对策。举例来说,我们将重点放在检测和阻断托管漏洞开发工具包和恶意内容的网站。我们建立了针对检测开发工具包组件的检测层,包括模糊JavaScript重新定向,利用Java的JAR文件和存在风险的文件等。就其本身而言,没有一个单独的层可以实现完美防御的;但将他们整合使用就非常有效了。
我们也正在研究如何才能做得更好。
我们专注于基于内容的检测(即将被下载的有关文件信息与他们信息来源的网站结合在一起进行检测分析)。独立来看,一个文件或它的源站点可能都不够可疑。但将它们结合在一起分析,他们往往存在与威胁关联的微妙疑点会触发我们的软件采取行动(且不会引发风险报警)。对于每一个保护层都失效的极少数情况,我们会增加另一个防御的终极层:运行时间检测。我们寻找那些恶意软件有可能执行的信号。例如,当一个程序发生一些合法程序很少会有的异动,我们会将这个异动与之前与执行有关的分析结合起来。当这个可能存在疑点的文件被下载时可能会提生我们的怀疑度,导致我们立即将其阻止。我们网络安全设备的新版本使用类似技术来阻止设备行为的方式说明有可能感染恶意软件。举例来说,对于可能被僵尸网络控制的设备,Sophos UTM 9.2不仅会检查网络数据包和确定试图到达非法域的终端,而且还能识别通过HTTP从僵尸网络转发到被感染终端的恶意配置文件。
当然,由于被感染的C&C web服务器和恶意软件会以极快的速度发生改变,因此Sophos的产品目前可以提供即时的云更新。. Sophos实验室管理着目前处于前沿地位的攻击者所需的巨量数据。每一天我们都会捕捉到来自全世界数以百万计的终端设备的数十亿的数据点。我们构建了一个最先进的国家级大数据基础设施,来帮助我们快速转换这些数据。这会涉及到巨量来自受保护终端和服务器的信息,从中识别出新出现的攻击;还要收集二进制文件,URL和遥测来帮助我们开发更好的保护措施。就我们使用的技术而言,我们的大数据基础设施主要是围绕Hadoop构建的。这个开源软件是基于率先由谷歌和雅虎提出的想法。供诸如脸谱,推特,易趣,当然还有Sophos公司这样拥有巨量数据需要立即进行分析的企业使用。