端点安全性评估

近年来,端点安全领域的评估发生了快速变化,特别是与检测率有关。在大多数情况下,检测率的测量依赖于可以从公共或私有存储库容易检索到已知的恶意软件。

端点安全解决方案通过使用各种功能(如哈希散列,签名,启发式算法,以及基于机器学习的模型的黑名单)逐渐提高其检测率的准确性,主要针对的是已知的恶意软件。此外,这些解决方案还包括基于深度学习的模型,可扫描文件(静态)或查看进程或机器(动态)的行为。

尽管端点安全解决方案提高了已知恶意软件的检测率,但是,在检测未知的恶意软件方面仍然存在问题。未知恶意软件实例的数量不断增加。每天都会出现新的变种,这使得研究人员难以在规避技术上保持领先地位。

让研究人员对新变种如此棘手的原因是,它们通常是原始恶意软件二进制文件的修改版本。通过勒索软件修改涉及安全厂商可能签署的功能,从硬编码字符串开始,C&C服务器的IP/域名,注册表项,文件路径,元数据甚至互斥体,与加密文件相关的证书,偏移量和文件扩展名。它也可以在代码本身上,例如使用诸如多态性的技术,其中操作码在保持原始功能的同时被改变,其中添加了无用的代码段来混淆和改变结构的顺序。提供新的恶意软件的主要方法是不同的,从哈希修改开始,或通过FUD打包,加密,多态或变质,或重写一些恶意软件代码。

除了攻击者可能用于创建这种突变和相同恶意软件的其他变种的上述方法之外,还可以生成新版本的现有恶意软件或新的恶意软件系列,以实现相同的目的。可以使用恶意软件提供的新功能来定义现有恶意软件实例的新版本,从而改变其业务逻辑。另一种技术是应用新的攻击向量或逃避技术来绕过端点安全性的当前签名。另外,一个新的恶意软件系列可以从头开始,或者基于另一个恶意软件的源代码。例如,Hidden Tear或EDA2是许多新的勒索软件系列的基础的开源勒索软件。

那么这些新变种如何影响基础架构的安全性?在攻击中使用未知的恶意软件大大增加了网络犯罪分子成功的可能性,因为它允许黑客以更少的尝试更智能地工作,从而获得更大的成功。此外,网络边缘的持续破坏以及访问内部网络的设备数量的增加进一步使安全更加复杂化。在当今云计算,移动,物联网和数据中心的视野中,网络安全工具必须对所有网段和环境提供更严格的控制。由于传统沙箱技术对处理延迟造成了影响,企业必须采用新技术,提供更快的速度和更强的预防技术,采用行为分析来防止恶意软件在开发阶段之前部署。

尽管越来越多的未知恶意软件实例和新的变种仍然存在问题,组织可以采取一些措施和步骤来评估端点安全性,以确保其优化进行检测。

首先,重要的是验证解决方案不仅仅依赖于哈希黑名单,这在现实世界中容易绕过。即使将单个字节嵌入到PE文件的末尾,对文件的一个小的改变也可以改变哈希值而不损害其功能。验证解决方案可以检测到新的恶意软件也是至关重要。即使这样的样本(即最近发布的新的恶意软件)是已知的,直到最近也没有被发现。因此,当解决方案需要时间来检测这样一个新系列的恶意软件时,这是一个糟糕的信号。

为此,有大量的公共存储库带有恶意软件。但是请记住,这些存储库通常包含许多非恶意软件文件,这些可能是良性的或是潜在不需要的应用程序(在评价方面可能有较低的优先级)。因此,组织不能假设恶意软件是正确的文件分类。或者,组织可以通过从互联网上的发布或从Alient Vault OTX等威胁情报源中查找样本来自己捆绑这样的存储库。请记住,尽可能使存储库多样化,这很重要:捆绑尽可能多的不同系列的样本,因此其结果是有代表性的。

最终,主要目标是测试新的未知的恶意软件。基于可用的恶意软件源代码创建突变是评估端点安全解决方案的一个绝佳选择。

本文转自d1net(转载)

时间: 2024-10-23 20:37:27

端点安全性评估的相关文章

数据中心安全性评估指标介绍

随着人们对个人隐私数据安全的关注,数据中心安全受到越来越高的重视.当人们访问数据中心时,首先的顾虑是是否个人的信息会被泄露,自己的访问是否是安全的.这对数据中心提出了更高的要求,数据中心不仅要提供全年不中断的访问,还要确保数据不丢失,不被窃取.一个数据中心是否是安全的,空口无凭,要通过一系列的数据来说话,这就需要对常用的数据中心安全指标要有所了解,通过这些安全指标对数据中心进行考核,从而对数据中心安全进行有效评估. 首先,要对数据中心日常运营的安全管理,这部分主要侧重对数据中心资产进行管理,并对

IBM ISS威胁缓解服务-应用程序安全性评估

确定应用程序漏洞以减轻风险 确保公司资产安全和维护合规性所面临的困难仍不断增加和发展.虚拟化和云计算增加了IT http://www.aliyun.com/zixun/aggregation/13748.html">基础架构的复杂性.数据量的快速增长使信息安全性显得更为至关重要.即使IT 安全性难题不断增加,您的客户仍然期望在您的基础架构中实现相当级别的数据私密性和安全性.在安全性规划期间,我们常常会忽略应用程序的安全性.开发者面临着使定制的应用程序迅速联机的巨大压力,因而在此过程中疏忽了

云计算系统IaaS层安全性评估模型的研究

云计算系统IaaS层安全性评估模型的研究 内蒙古农业大学   李传龙 体工作如下:(1)对国内外研究的云计算安全服务和技术保障以及云计算标准进行了概括总结,并细致研究了IaaS层的关键技术,同时对现有两个开源的云平台进行了对比研究,找出其优缺点.(2)详细分析了云安全联盟(Cloud Security Alliance,CSA)提出的九大威胁,同时对IaaS层的特有威胁进行了详细调研,根据两者相关性得出映射关系.然后,通过对数据中心和虚拟网络的安全性进行调研分析,将解决IaaS层安全性的相关技术

Gartner表示Docker安全性“尚不成熟”

Gartner公司的分析师发表一份声明,指出尽管这款容器化工具已经闯出了响亮的名号.但Docker的安全性仍然不够成熟. 于上周发表的这篇<Docker管理下的容器安全性评估>指出,"Linux容器在成熟程度方面已经足以应对私有以及公有PaaS的实际需求",但"--在安全性管理与控制方面的表现却令人失望,而且也无法为常见控制任务在机密性.完整性与可用性等方面提供必要支持."   这份文件同时表示,将Docker运行在虚拟机管理程序当中--一般指VMwar

如何利用Acunetix WVS发动批量网站漏洞评估

我们知道Acunetix WVS可以对网站进行安全性评估,那么怎么能批量扫描呢?游侠(www.youxia.org)在测试WVS 8 BETA2的时候发现WVS居然支持WEB管理,还是很方便的. 打开Acunetix WVS,点New Scan,在弹出来的界面可以看到有三个选项: 最下面一个:如果你想扫描一个网站列表,使用Acunetix计划任务,访问http://localhost:8181,打开后选择"+schedule new scan": 有Basic options.Adva

SSL&TLS 安全性测试

本文讲的是SSL&TLS 安全性测试,本文介绍了使用半自动化工具执行SSL&TLS安全性评估的过程,以及如何使用手动测试方法验证工具发现.目的是优化TLS和SSL安全测试流程,进行渗透测试时在TLS / SSL上花费更少的时间. 什么是TLS和SSL? 安全套接层(SSL)和传输层安全(TLS)加密用于通过互联网提供通信安全(传输加密)和互联网上的隐私来保护互联网和网络流量,用于诸如网络,电子邮件,即时消息(IM)和一些虚拟专用网(VPN). 因此,TLS安全配置很重要,应花时间学习和识别

拜耳避孕药在美遭再次评估

昨天,外媒报道称,因"消费者使用这4款避孕药可能形成的血栓风险或高于其他同类药物",德国拜耳旗下四款避孕药目前正被美国食品药品监督局(FDA)进行再评估.据悉,其中一款药物在中国有售.拜耳医药保健(中国)表示,目前未有对相关药物的使用调整. 据报道,今年5月上旬,拜耳医药在美遭遇诉讼.一位18岁的女大学生在服用避孕药Yaz(香港名为优悦)后因心脏停搏而猝死,其死因被指与服用Yaz引发的血栓有关.<英国医学杂志>此前发布的两份报告显示,相比传统避孕药,Yaz中含有的荷尔蒙屈螺

《2017年IT优先级调查》:重点考虑云、网络、端点安全

在TechTarget<2017年IT优先级调查报告>中,显示了企业和信息技术专业人员投入时间和资源较多的一些重要的IT安全趋势. 对于企业IT团队来说,优先考虑无限的网络安全措施并不是件容易的事.无尽的攻击,例如最近的WannaCry勒索病毒或其他可能对企业造成破坏的新类型的勒索软件,都是专业人士在对企业进行保护时需要考虑的诸多IT安全趋势之一. 事实上,IT安全趋势显示越来越多的企业选择部署云服务.在最新的TechTarget调查中,信息技术专业人士展示了其2017年度的网络安全优先级计划

IBM ISS威胁缓解服务-安全性支持和漏洞管理

评估安全性现状 了解您组织的安全性状态并发现漏洞是保护关键数据的机密性.完整性和可用性的第一步.这些步骤同时也是实现合规性所不可或缺的工作.继续无视安全性风险会使组织易于遭受http://www.aliyun.com/zixun/aggregation/10370.html">网络攻击,也可能导致敏感数据的丢失.误用或泄密.这一连串事件可导致因应对攻击或违规乃至丧失客户信任度和信誉受损而带来的巨额经济费用. 要建立一种行之有效的安全性策略,必须先对目前的信息安全性状况进行一个精确的评估.I