SOPHOS 2014安全威胁趋势报告之Sophos实验室:网络攻击侦测的领先者

随着恶意软件攻击变得越来越复杂和难以捉摸,安全公司必须以更高的智慧,灵活性和速度加以应对。这也是SophosLabs不断努力的目标。

曾几何时,防病毒软件公司的注意力主要集中在识别与恶意软件相关的签名上。然后攻击者发动多态攻击在每台被感染的计算机上生成恶意软件的唯一版本,从而使得静态检测的效果大打折扣。一些多态攻击很容易规避。举例来说,电子邮件过滤基本可以预防通过电子邮件附件方式传送的攻击。但是就当下而言最危险的攻击都是由分布在整个网络中的复杂攻击链组件组成的。从今年的报告来看,他们已经采用了">功能强大的新技术来抵御检测。

我们采用集成数个保护层的方式作为对策。举例来说,我们将重点放在检测和阻断托管漏洞开发工具包和恶意内容的网站。我们建立了针对检测开发工具包组件的检测层,包括模糊JavaScript重新定向,利用Java的JAR文件和存在风险的文件等。就其本身而言,没有一个单独的层可以实现完美防御的;但将他们整合使用就非常有效了。

我们也正在研究如何才能做得更好。

我们专注于基于内容的检测(即将被下载的有关文件信息与他们信息来源的网站结合在一起进行检测分析)。独立来看,一个文件或它的源站点可能都不够可疑。但将它们结合在一起分析,他们往往存在与威胁关联的微妙疑点会触发我们的软件采取行动(且不会引发风险报警)。对于每一个保护层都失效的极少数情况,我们会增加另一个防御的终极层:运行时间检测。我们寻找那些恶意软件有可能执行的信号。例如,当一个程序发生一些合法程序很少会有的异动,我们会将这个异动与之前与执行有关的分析结合起来。当这个可能存在疑点的文件被下载时可能会提生我们的怀疑度,导致我们立即将其阻止。我们网络安全设备的新版本使用类似技术来阻止设备行为的方式说明有可能感染恶意软件。举例来说,对于可能被僵尸网络控制的设备,Sophos UTM 9.2不仅会检查网络数据包和确定试图到达非法域的终端,而且还能识别通过HTTP从僵尸网络转发到被感染终端的恶意配置文件。

当然,由于被感染的C&C web服务器和恶意软件会以极快的速度发生改变,因此Sophos的产品目前可以提供即时的云更新。. Sophos实验室管理着目前处于前沿地位的攻击者所需的巨量数据。每一天我们都会捕捉到来自全世界数以百万计的终端设备的数十亿的数据点。我们构建了一个最先进的国家级大数据基础设施,来帮助我们快速转换这些数据。这会涉及到巨量来自受保护终端和服务器的信息,从中识别出新出现的攻击;还要收集二进制文件,URL和遥测来帮助我们开发更好的保护措施。就我们使用的技术而言,我们的大数据基础设施主要是围绕Hadoop构建的。这个开源软件是基于率先由谷歌和雅虎提出的想法。供诸如脸谱,推特,易趣,当然还有Sophos公司这样拥有巨量数据需要立即进行分析的企业使用。

时间: 2024-10-13 19:58:58

SOPHOS 2014安全威胁趋势报告之Sophos实验室:网络攻击侦测的领先者的相关文章

SOPHOS 2014安全威胁趋势报告之Windows未打补丁风险

从2014年4月开始就不会再发布用于 Windows XP 和 Office 2003 的新补丁.给Windows打补丁将成为诸如POS机和医疗设备等专业市场必须重视的问题. Android和web最近受到了很高的关注.几乎让人遗忘了还有十亿以上的电脑仍在运行Windows系统.虽然微软自动更新工具持续对这些系统打补丁和更新,但令人担忧的差距依然存在.在本节中,我们将重点关注三个方面:微软即将放弃对Windows XP和Office 2003的支持,未打补丁的(POS)系统,针对运行不同版本未打

SOPHOS 2014安全威胁趋势报告之针对金融账户的威胁

我们看到越来越多的持续性的,有针对性的攻击,目的在破坏金融账户. 虽然我们还没有统计出数量上的明显增加,不过Sophos实验室通过长期的观察发现,特定具体的企业或机构似乎已经成为更持久的攻击目标,包括那些之前从未成为首选目标的企业用户.这些攻击的目的旨在破坏存在风险的金融账户,说明以前以传统方式窃取货币的网络罪犯已经将兴趣转移到高级持续性威胁(APT)的攻击上. 披着羊皮的狼:Plugx,Blame和Simbot 一些有针对性的攻击试图伪装成合法的应用程序.特别是我们看到危险的证书窃取攻击,使用

SOPHOS 2014安全威胁趋势报告之基于Web的恶意软件

2013年,Web服务器攻击和开发工具包演变的更加危险和难以侦测,从而导致针对存在风险的Web客户端的偷渡式攻击越发猖獗. 正如我们上面在Linux恶意软件的论述中简要提到的,我们已经看到伪装的恶意Apach e模块式攻击明显增加;这些模块,一旦在存在漏洞的合法网站上安装成功,就会通过Web浏览器发动动态攻击. Darkleech攻击web服务器 今年最引人注目的例子就是Dark leech,据报告统计到2013年5月它已经成功的破坏了40,000域名和网站的IP地址,其中有一个月破坏的数量就达

SOPHOS 2014安全威胁趋势报告之垃圾邮件重新包装

年复一年的http://www.aliyun.com/zixun/aggregation/12915.html">垃圾邮件,它不再光鲜亮丽,但安全风险却永远不会消失. 只要人们还发送电子邮件,网络犯罪分子就不会停止发送垃圾邮件.一些垃圾邮件仅仅是烦人,但某些类型的垃圾邮件会链接到我们大多数人都可能忽视的金融骗局上.一些垃圾邮件会链接到非常危险的恶意软件上. 垃圾邮件发送者使用的某些战术似乎从未消失.举例来说,基于图像的垃圾邮件(卖假劳力士手表的尝试依然是常年存在的垃圾邮件):链接到当前新闻

SOPHOS 2014安全威胁报告之Android系统的恶意软件

继Windows首先被攻击以来,针对Android系统的恶意软件也在不断发展和演变.但保障Android系统平台安全的措施也取得了进步. 自从2010年8月我们首次检测到Android恶意软件以来,我们已经记录了超过300个恶意软件品种.而且我们发现很多Android恶意软件生态系统都是多年前Windows恶意软件路线的延续. 规避检测和清除的手段更加复杂化 最近我们发现Android恶意软件用来规避检测和清除的手段和花样不断翻新. Ginmaster就是个很好的例子.自从2011年8月首次在中

SOPHOS 2014安全威胁报告之Linux操作系统

linux成为目标平台是因为Linux服务器在网站运行和Web内容传递中应用非常广泛尽管针对Linux操作系统的恶意软件相较Windows或Android系统的数量而言还比较少,但我们看到恶意软件的可执行文件和脚本攻击的势头却是源源不断.此外,我们还检测到大量针对独立http://www.aliyun.com/zixun/aggregation/18022.html">平台设计但往往在Linux服务器上运行的服务发动攻击的样本. 出于多种原因,基于Linux的Web服务器已经成为希望将流量

SOPHOS 2014安全趋势报告之Mac OS X

虽然今年我们还没有看到针对Mac OS X的高调攻击,但我们确实检测到了持续性而且新型的的袭击,这都需要明智的Mac用户提高警惕. 尽管我们还没有看到堪比2012年Flashbck那样庞大的全球性攻击,但针对Mac OS X平台的攻击在2013年继续蔓延.我们看到Mac攻击的类型包括木马,针对Java平台缺陷和Microsoft Word文档格式的攻击,咄咄逼人的浏览器插件,恶意的JavaScript和Python脚本,获得Apple Developer ID数字认证的恶意软件可以通过苹果公司的

SOPHOS 2014安全威胁报告之僵尸网络

僵尸网络的规模和隐蔽性不断扩大 在过去的一年中,僵尸网络已经变得更加泛滥,更具灵活性和伪装性,而且他们似乎发现了一些危险的新目标. 僵尸网络的源代码历来都被其所有者严密保护着.即使网络犯罪分子选择退出僵尸网络,他们往往也会以高价出售他们的代码.但近年来,活跃的僵尸网络源代码已经泄露.这使得模仿者会去创建他们自己的新僵尸网络,然后以原始编码者万万没有想到的方式大行其道.举例来说,几年前泄露的Zeus源代码被其他人利用开发出GAMEOVER,它取代了Zeus源代码传统上与被感染设备的一个对等网络链接

搜狐今天公布2014年第三季度财报

摘要: 查看最新行情 北京时间11月3日晚间消息, 搜狐 (Nasdaq: SOHU )今天公布了截至2014年9月30日未经审计的2014年第三季度 财报 .财报显示,搜狐第三季度总营收4.3亿美元,同比增长17%:第三季   查看最新行情 北京时间11月3日晚间消息, 搜狐 (Nasdaq: SOHU )今天公布了截至2014年9月30日未经审计的2014年第三季度 财报 .财报显示,搜狐第三季度总营收4.3亿美元,同比增长17%:第三季度归属搜狐的净亏损2800万美元,上年同期净利润为4,