分层防御:为何需要静态分析、动态分析和机器学习

Dec 26, 2018
1 minutes
... views

单点安全解决方案在整个攻击生命周期中仅专注于单点干预。即使安全解决方案的成功率高达 90%,也会有 10% 的几率无法阻止攻击跨越该点。想要增加阻止网络攻击获得成功的可能性,组织不能依赖单点解决方案。他们必须部署多层防御措施,同时覆盖多点拦截。堆叠使用有效的技术,可提高安全解决方案的有效性,并有机会中断多点的攻击生命周期。

结合使用下面的三种威胁识别方法,可阻止网络攻击获得成功。

 

动态分析

唯一可检测到零日威胁的工具

通过动态分析,在虚拟机(如恶意软件分析环境)中触发可疑文件,对该文件进行分析后,可了解其作用。可疑文件的分级依据执行文件后所起到的作用,而不是根据用于识别威胁的签名。这样便可通过动态分析来识别威胁,这些威胁与以前所见的任何威胁都不一样。

为获得最准确的结果,样本应拥有互联网的全部访问权限,就像企业网络上的普通端点一样,因为威胁通常需要通过命令和控制活动才能完全打开自己。作为预防机制,恶意软件分析可阻止互联网受到影响,并可冒充响应调用,尝试欺骗威胁暴露自己,但是该方法可能不可靠,不是用于访问互联网的理想替代方案。

恶意软件分析环境容易被识别出来,且分析过程十分耗时

为规避检测,攻击者会尝试通过分析网络,确定攻击是否运行于恶意软件分析环境中。他们将搜索指示恶意软件位于虚拟环境中的多项指标,例如在相似时间或由同一 IP 地址触发、缺少敲击键盘或移动鼠标等有效的用户活动,或者虚拟化技术,如异常大的磁盘空间。如果确定攻击在恶意软件分析环境中运行,攻击者将停止运行攻击。这意味着任何失效的分析均容易影响结果。例如,如果样本在触发过程中进行回拨,但是由于攻击者识别到恶意软件分析而导致操作失败,则样本不会执行任何恶意操作,分析也不会识别到任何威胁。同样地,如果威胁需要运行特定版本的特定软件,其不会在恶意软件分析环境中执行任何可识别的恶意操作。

动态分析可能需花几分钟时间来打开虚拟机,将文件导入其中,了解文件的作用,然后拆除虚拟机并分析结果。尽管动态分析所耗费的成本最高,且较为耗时,但它也是唯一可有效检测未知威胁和零日威胁的工具。

 

静态分析

快速获得结果,对分析没有要求

与动态分析不同,静态分析查看的是磁盘上特定文件的内容,而非被触发文件的内容。其会解析数据,提取模式、属性和组件,并标记异常。

静态分析可自如应对动态分析呈现的问题。该方法十分高效,在非常短的时间内即可完成相关工作,而且更具成本效益。此外,静态分析可用于任何文件,因为对分析没有任何特定要求,无需定制环境,也不用从待分析的文件进行外部通信。

打包文件导致失去可视性

但是,如果将文件打包,可十分轻松地规避静态分析。虽然打包文件很适用于动态分析,但在静态分析过程中会失去对实际文件的可视性,因为重新打包样本会使整个文件变成干扰。能以静态方式提取出来的内容微乎其微。

 

机器学习

新版威胁根据行为与已知威胁聚类

机器学习不会执行特定的模式匹配或文件触发,而是解析文件并提取数千项特征。这些特征通过称为特征向量的分类器运行,以根据已知标识符确定文件的好坏。如果文件特征的行为与任何之前评估的文件集群的特征行为一致,则计算机不会查找某种具体内容,而是会将该文件标记为集群的一部分。为实现良好的机器学习,需要训练一系列好坏参半的判定结果,而添加新数据或特征可改进该过程并降低误报率。

机器学习可弥补动态分析和静态分析的缺失。惰性的、未触发的、被打包程序侵害的、命令和控制失败的或者不可靠的样本,仍然可通过机器学习识别为恶意内容。如果发现大量版本的指定威胁并将它们聚类在一起,且样本的特征与集群中的特征一样,则计算机将假定该样本属于集群,并会立刻将其标记为恶意内容。

仅能深入查找已知内容

与其他两种方法一样,我们也应将机器学习视为一种工具,该工具在拥有许多优点的同时也有一些不足之处。也就是说,机器学习仅根据已知标识符来训练模型。与动态分析不同,机器学习从不查找任何原始或未知内容。如果在机器学习过程中遇到与以前所见的威胁不一样的威胁,计算机不会标记该威胁,因为它接受的训练仅是为了深入查找已知威胁。

平台中的分层技术

想要阻止高级攻击者对您发起的攻击,您需要的装备还远远不够。您需要分层技术 — 多供应商解决方案的一个概念。虽然深度防御仍然合适且具有相关性,但其需要跨越多供应商单点解决方案的局限,扩展为集成了静态分析、动态分析和机器学习的平台。结合使用这三种方法,可通过层层的集成解决方案,实现深度防御。

 

Palo Alto Networks Security Operating Platform 与 WildFire 云威胁分析服务集成,可为相关组件提供可操作的情境威胁情报,并在网络、端点和云中提供安全启用功能。WildFire 结合了自定义构建的动态分析引擎、静态分析、机器学习和裸机分析,适用于高级威胁预防技术。许多恶意软件分析环境都利用开源技术,但 WildFire 删除了动态分析引擎内的所有开源虚拟化组件,取而代之的是重新构建的虚拟环境。攻击者必须创建全新的独特威胁来规避 WildFire 中的检测,这种威胁需独立于用来对付其他网络安全供应商的技术。对于可能规避 WildFire 头三层防御(动态分析、静态分析和机器学习)的小部分攻击,系统会将显示规避行为的文件动态导向到裸机环境中,以便完整执行硬件操作。

这些技术在该平台中以非线性方式共同发挥作用。多层方法可提高所有其他功能的安全性,如果一种技术将文件识别为恶意内容,则使用该方法的整个平台都会知道该文件是恶意内容。


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.