终端战争中,新一代安全产品的叫嚷声一直是最大的。他们宣称在查找零日恶意软件上机器学习比特征码检测更有效。然而,这种声明起到了两种效果:首先,没错,机器学习确实在检测新威胁上更有效;另一方面,却暗指第一代厂商除了特征码检测就没别的招了。这第二条就大错特错了,来自第一代厂商的严重反击是可以预见的。
如今,反击已正式开场。数周前,Sophos发布了一款新产品,称为 Intercept X。本月初,赛门铁克旗舰产品SEP最大的更新升级放出:SEP14。这是一次近乎全新产品的全面革命性更新。未来几个月里,我们可以预期其他第一代厂商还将陆续推出更多的发布。
赛门铁克终端产品全球副总裁贾韦德·哈桑解释道,SEP14是为了“更强的防护、更高的性能、精心策划的响应”而生。这3点要求是以创新的方式叠加多种技术而达成,“单一技术”厂商不可能完成这一壮举。
“单一技术”似乎是第一代厂商为反击基于机器学习的新一代厂商而征用的词汇,就像某些新一代厂商傲娇地将第一代厂商简单归类为“特征码检测引擎”一样。ESET高级研究员大卫·哈利最近的做法与之非常类似。“如果真的有代际差别,那就是老顽固们不像他们倚赖静态特征码一样依赖单一算法;而小子们倾向于在市场营销中大肆鼓吹非此即彼的观点,宣称自己不用特征码,将机器学习捧成完美技术,恶意软件一触即退。”
这种“老顽固们”的多技术能力,存在于SEP14内部。想最大化恶意软件检测,最方便的途径就是把所有东西都当做恶意软件了;但在商业环境里,高误报率是行不通的。真正的问题在于维持高检测率的同时最小化误报率。哈桑说:“我们一直保持SEP的极低误报率标准。内部检测中只有0.1%的误报。”该误报率采用特征码检测的系统可得,但采用机器学习检测方法就不那么容易获得了(机器学习得出的是概然率,而不是简单易懂的是/否结果)。相反,机器学习的概然率更有可能检测还没有特征码的未知恶意软件。
SEP14如今寻求的是在不影响性能的情况下最大化两种方法的好处。简单讲,SEP14在终端融入了机器学习代理,而将病毒库移到了云端。“我们依然使用特征码,但将其主体搬到了云端。特征码的最大用途现在围绕更低的误报,而不是更高的检测率。”如今,终端上的机器学习检测到可疑文件,然后与赛门铁克那全球最大的民用黑名单和白名单数据库做对照。
有趣的是,云散列查找实际上比本地存储的特征码数据库散列检测还更快。“云查询很小,因而检测速度实际上还提升了——我们要么磁盘扫描,要么云端查询。磁盘扫描耗时比云端查询更长。机器学习检测的东西也不是全部都需要云查询的——只有在机器学习给出的概率留有怀疑空间的时候,才用云查询还进行确认。”
正是机器学习算法和特征码病毒库的双重检测,让SEP14保持极低的误报率——最多只有2%,比某些新一代厂商的最低15%好太多了(哈桑提到,他说的所有数字将经已在进行的第三方测试证实,结果将于数周内公布。)
但该方法仍留有一个SEP14努力规避的安全弱点。机器学习想要检测一个可疑文件,该文件必须是已经存到了磁盘上的。也就是说,感染已经发生;而这,是终端安全真正应该避免的。
本次发布的版本中我们加入的,是漏洞利用缓解技术——检测攻击者所用瞄准漏洞的方法。漏洞利用所用的技术其实相对较少。该缓解技术所做的,就是阻止这些。
Sophos上个月也表达了类似的观点,称只有大约24种基本漏洞利用方法。不同方法结合不同平台(Word、PDF等等),情况就复杂了,但与综合恶意软件特征码库的规模相比,几乎可算微不足道。
终端上机器学习与漏洞利用缓解的结合,提供了最大的防护;而云端的特征码确认,则最小化了误报率。这一安排还有2个更深远的好处:
终端上机器学习检出的零日恶意软件可被立即发送到云端,为所有客户提供防护;
终端上的日常升级也相应减少。
“与SEP12相比,SEP14的更新减少了70%。更新不会完全消失,但被减少到相当于一天一封大邮件的量。”
哈桑魔法帽子里放出的最后一只兔子——编配。他说:“我们开启了它,这样客户就可将SEP14与其他产品进行编配协调,或者通过脚本进行联动。你可以从SEP14中抽出数据,使用脚本化的控制,在你想要修改终端安全状态的时候就可以响应其他地方发生的事件了。”
好了,Sophos和赛门铁克都整完了,下面等着看McAfee的吧。
本文转自d1net(转载)