大數據分析重新定義惡意軟件策略

在與惡意軟件的戰爭中，良好的情報一直是決定性因素。但威脅乘以指數，分析信息可能變得和收集它一樣的重要。

未來的反惡意軟件是一個懸而未決的問題。由于產生的惡意軟件數量日益龐大，在過去應對感染最常見的處理方法——基于簽名的文件掃描，正變得越來越無效。但尚無一個更好的策略，很多企業的防病毒產品仍然在很大程度上依賴于它。

但是事情正在發生變化。殺毒軟件廠商都開始實現保持探索提前預知惡意軟件的動向(或至少緊跟在它們不太遠的后面)，更深入地追蹤惡意軟件——它正在做什么，它從哪兒來，它希望得到什么，預測未來它可能在哪里涌現，都是必要的。

多倫多的安全咨詢和托管服務提供商 Sentry Metrics 公司首席執行官 Dave Millier 說，許多廠商都不再注重未來“一次一個(one at a time)”的威脅，而是開始收集數據，并推測在將來的更廣泛的趨勢。他表示，是相對較新的技術，使這一切成為可能。

“你看到更多的數據收集發生在網絡層面，在那里你正在從安全角度嘗試使用大量的信息，我們過去沒有能夠使用。”

與他一起工作的供應商之一是Sourcefire，該公司已經基本上開始將查看惡意軟件當成是一個“大數據”的問題。Sourcefire公司最近推出了一款基于云的企業安全產品，名為FireAMP，以查看“模糊(fuzzier)”惡意軟件簽名擴大安全網，更廣泛的全球模式監測可疑活動。 FireAMP還使用Sourcefire稱為“機器學習(machine learning)”的方式，為潛在威脅的可能屬性建立模型。

值得注意的是，FireAMP能夠回顧在網絡上的爆發期間發生的事情，不管出于企業安全的目的，還是出于法律原因，這都是一項重要功能。

“我們的重點已經做出重大的轉變，通過我們基于云的平臺切入我們稱之為端點的斗爭記錄，”Sourcefire云技術集團高級副總裁 Oliver Friedrichs 說，“我們基本上是跨端點記錄文件的活動，能夠在云中存儲文件活動的防篡改記錄。”

通過FireAMP，他說，連接器安裝在終端，每當用戶安裝或執行應用程序，將數據發送到云中。

“在未來，如果有違反，我們可以告訴你威脅實際上從哪里進來，它到哪里去，patient zero(第一傳染源)是誰，例如，第一個人受到感染，這種威脅實際上如何傳播和造成多大的傷害。”

另一個反惡意軟件廠商，趨勢科技公司，也投資于新的情報能力，利用云基礎設施和在線社區的力量。趨勢科技公司在加拿大的產品和服務總監 Tom Moss ，介紹了一個“以火救火戰略(fight fire with fire strategy)。”

“僵尸控制器是一種云的使用方式，或使用互聯網控制大量的機器，”他說，“我們利用的機器和網絡，我們的客戶收集有關惡意軟件如何行為，正在試圖和誰溝通的情報。”

還是在這里，收集數據供日后分析。趨勢科技運行一種感染源的背景檢查，他說：“這個域名在哪里注冊?這個人曾經注冊過什么樣的域名?與這些域名相關聯的地址變化有多頻繁?”

Millier 說，分析正在成為對惡意軟件的斗爭的一部分，IT安全行業同樣面臨著和其他人一樣的大數據的挑戰。把大量的數據帶到一個地方監視，是一個健全的戰略，他說，但很難進行有意義的分析，對大量的原始資料。

“為了能夠有效觸發，為了能夠有效地通過搜索，它確實需要被索引，并且需要進行排序，”Millier說，“因此你失去以非結構化保持靈活性的辦法。”

Millier說，總體而言，我們正在使用的安全數據收集和分析的各種工具，已在近幾年大大改善，情報的深度和廣度是大得多。

“你得到在網絡中實際上發生的事情，你在系統層面看到它，你在網絡層面看到它，你在防火墻看它，甚至在應用程序層面看它，當然能夠更快更好地識別威脅。”