近年来,端点安全领域的评估发生了快速变化,特别是与检测率有关。在大多数情况下,检测率的测量依赖于可以从公共或私有存储库容易检索到已知的恶意软件。
端点安全解决方案通过使用各种功能(如哈希散列,签名,启发式算法,以及基于机器学习的模型的黑名单)逐渐提高其检测率的准确性,主要针对的是已知的恶意软件。此外,这些解决方案还包括基于深度学习的模型,可扫描文件(静态)或查看进程或机器(动态)的行为。
尽管端点安全解决方案提高了已知恶意软件的检测率,但是,在检测未知的恶意软件方面仍然存在问题。未知恶意软件实例的数量不断增加。每天都会出现新的变种,这使得研究人员难以在规避技术上保持领先地位。
让研究人员对新变种如此棘手的原因是,它们通常是原始恶意软件二进制文件的修改版本。通过勒索软件修改涉及安全厂商可能签署的功能,从硬编码字符串开始,C&C服务器的IP/域名,注册表项,文件路径,元数据甚至互斥体,与加密文件相关的证书,偏移量和文件扩展名。它也可以在代码本身上,例如使用诸如多态性的技术,其中操作码在保持原始功能的同时被改变,其中添加了无用的代码段来混淆和改变结构的顺序。提供新的恶意软件的主要方法是不同的,从哈希修改开始,或通过FUD打包,加密,多态或变质,或重写一些恶意软件代码。
除了攻击者可能用于创建这种突变和相同恶意软件的其他变种的上述方法之外,还可以生成新版本的现有恶意软件或新的恶意软件系列,以实现相同的目的。可以使用恶意软件提供的新功能来定义现有恶意软件实例的新版本,从而改变其业务逻辑。另一种技术是应用新的攻击向量或逃避技术来绕过端点安全性的当前签名。另外,一个新的恶意软件系列可以从头开始,或者基于另一个恶意软件的源代码。例如,Hidden Tear或EDA2是许多新的勒索软件系列的基础的开源勒索软件。
那么这些新变种如何影响基础架构的安全性?在攻击中使用未知的恶意软件大大增加了网络犯罪分子成功的可能性,因为它允许黑客以更少的尝试更智能地工作,从而获得更大的成功。此外,网络边缘的持续破坏以及访问内部网络的设备数量的增加进一步使安全更加复杂化。在当今云计算,移动,物联网和数据中心的视野中,网络安全工具必须对所有网段和环境提供更严格的控制。由于传统沙箱技术对处理延迟造成了影响,企业必须采用新技术,提供更快的速度和更强的预防技术,采用行为分析来防止恶意软件在开发阶段之前部署。
尽管越来越多的未知恶意软件实例和新的变种仍然存在问题,组织可以采取一些措施和步骤来评估端点安全性,以确保其优化进行检测。
首先,重要的是验证解决方案不仅仅依赖于哈希黑名单,这在现实世界中容易绕过。即使将单个字节嵌入到PE文件的末尾,对文件的一个小的改变也可以改变哈希值而不损害其功能。验证解决方案可以检测到新的恶意软件也是至关重要。即使这样的样本(即最近发布的新的恶意软件)是已知的,直到最近也没有被发现。因此,当解决方案需要时间来检测这样一个新系列的恶意软件时,这是一个糟糕的信号。
为此,有大量的公共存储库带有恶意软件。但是请记住,这些存储库通常包含许多非恶意软件文件,这些可能是良性的或是潜在不需要的应用程序(在评价方面可能有较低的优先级)。因此,组织不能假设恶意软件是正确的文件分类。或者,组织可以通过从互联网上的发布或从Alient Vault OTX等威胁情报源中查找样本来自己捆绑这样的存储库。请记住,尽可能使存储库多样化,这很重要:捆绑尽可能多的不同系列的样本,因此其结果是有代表性的。
最终,主要目标是测试新的未知的恶意软件。基于可用的恶意软件源代码创建突变是评估端点安全解决方案的一个绝佳选择。
本文转自d1net(转载)