关于恶意软件,请先了解五件事

安全团队需要区分无关紧要和破坏性恶意软件,因此不使用资源来追捕错误的威胁

  • 在脸书上分享
  • 分享到Twitter
  • 分享LinkedIn
  • 分享Reddit
  • 通过电子邮件分享
  • 打印资源

CSO |

在当今的网络环境中,逃避传统防御的恶意软件无处不在沟通和活动每三分钟一次。不幸的是,这项活动的大部分与企业无关紧要。您会认为这是个好消息吗?问题在于,事件响应者没有很好的方法将无关紧要的恶意软件与(可能)高度破坏性恶意软件区分开来。结果,他们花了太多时间和资源追逐红色鲱鱼,而真正的恶意活动会滑倒。

[[真正的APT活动背后的过程和工具:概述这是给予的

加入混音不眠之夜,这是由于强迫观看恶意软件警报仪表板而导致的,显示了数百至数千个恶意活动警报。凭借令人生畏的恶意软件清单可以分析,并且一天中只有很多小时,因此越来越多的惊喜标题违反了。

现实情况是,高级恶意软件防御是一项复杂的事业,不仅需要检测恶意软件的能力 - 在复杂的网络环境中已经很困难 - 而且还要优先考虑其具有最佳安全性结果的动作。将主动攻击的生命周期减少甚至几天,可以减少数百万次攻击的经济影响。

那么我们如何加快事情的速度呢?上下文是对大量恶意软件警报产生的不确定性的解毒剂。您如何获得这种情况?第一步是知道要寻找什么。一旦了解了需要知道的知识,就可以开始自动化数据收集和关联。

因此,以下是您在决定采取措施之前应该寻找的东西:

意图

恶意软件有各种形状和形式。尽管大多数恶意软件可能会喜欢向您的用户展示不需要的广告或诱使他们下载更多免费游戏,但仍有高级恶意软件具有真正的损害 - 有针对性的,精致的攻击。意图的严重性可能从僵尸网络的一部分发送垃圾邮件消息到旨在窃取信息和造成干扰的针对性威胁。了解恶意软件的真正意图可能很困难,但是有几个可以用作代理的明显标志:

  • 复杂性(复杂性):尽管处理恶意软件时没有绝对的问题;总的来说,在回避方面的更多努力意味着更加关键的威胁。如果一块可执行的代码试图“太难”逃避检测,例如通过加密有效载荷,它比没有恶意软件更危险。
  • 交付复杂性:为将恶意软件运送到组织的努力和定制付出了多少努力和定制,这是攻击者的复杂性和技能的绝佳指标,并且也是意图的好指标。通过向员工传播的传播消息传播的恶意软件可能比大规模电子邮件传播的感染更具危害性。
  • 可疑功能:如果恶意软件代码包括可疑功能,例如捕获击键或屏幕截图的电话;它可能更加严重。

在线服务病毒可以是检查恶意软件的声誉和意图的非常方便的资源。

目标

尽管高级攻击者可以通过使恶意软件跳过到寻找所寻找的东西来融入您的网络,但常识要求首先追求针对更敏感的用户和设备的威胁。

为了做到这一点,您需要根据存储在给定设备或系统上的信息的关键,或者通过信息用户可以访问的信息的关键性来对组织中的设备,网络和用户进行分类。最好由:

  • 维护组织中关键网络和子网的列表
  • 根据用户的灵敏度维护关键的活动目录组列表,例如财务,数据中心,执雷竞技电脑网站行人员等

使用IP地址管理解决方案或类似设备来维护设备,IP地址,网络和用户的实时映射。当您看到恶意软件下载或命令和控制警报时,此信息对于确定威胁的优先级至关重要。

来源

感染的根源也是恶意软件恶意性的重要指标。想一想,您最大的敌人是谁,以及是否可以追溯到他们的恶意软件来源。不可能始终这样做,但是如果您可以,它会立即提醒您攻击的严重性并帮助您进行行动优先级。

[[RSAC 2014:专家讨论事件响应的严峻现实这是给予的

根据下载URL IP地址和命令和控制流量IP地址,找到对手尝试并尝试将它们进行地理位置的最简单方法。有几种互联网资源可以帮助您进行地理位置的IP地址,并提供相关的声誉数据。

严重程度

由于不到10%的恶意软件下载导致感染,因此没有理由追逐未持有的恶意软件下载警报。因此,知道恶意软件在杀戮链中的位置 - 例如下载次数,感染次数和命令和控制回调的数量 - 明显的严重性指标,对于优先考虑补救措施非常有帮助。

如果您看到许多恶意软件类型的下载量,但没有命令和控制流量,则反病毒软件很可能能够捕获它,或者您的所有系统都适当地修补并且不容易受到影响。另一方面,如果您看到特定感染设备的命令和控制流量有很多,则恶意软件可能正在渗透信息或造成其他损坏,并且必须尽快包含。

修复基础知识

清楚地了解如何阻止恶意软件进一步传播和控制损害对于缓解威胁至关重要。这是减轻威胁的三个基本原理:

  • 识别并阻止感染来源:一旦决定采取行动,很明显,您使用防火墙和/或安全的Web网关设备来阻止对托管恶意软件的URL的访问。如果确定电子邮件为恶意软件的来源,请向用户发送信息以不打开可疑附件。
  • 识别并阻止命令和控制流量:查看防火墙和Web日志,以确定CNC IP地址并阻止与之访问的通信。
  • 识别并清洁感染设备:这是最昂贵,最痛苦的缓解措施。通常,设备清理将需要重新成像系统,这很耗时,并且在清理过程中失去了访问设备的访问权限,这也使您的员工无效。确保您的用户定期备份其设备。

尽管备受瞩目的攻击继续主导着头条新闻,但这并不是厄运和忧郁。有一套不断提高的方法,可以防止和防御高级攻击,而坏人可能正在不断发展他们的方法,好人也是如此。而且,正如陈词滥调的那样,当涉及到高级攻击时,一盎司的预防值得一磅治愈。

Shel Sharma是Cyphort产品管理总监。

这个故事是“在开车之前要了解的有关恶意软件的五件事”,最初是由CSO

加入网络世界社区有个足球雷竞技appFacebookLinkedIn评论最重要的主题。
有关的:

版权所有©2014 IDG ComRaybet2munications,Inc。