每個應用程式,包括惡意軟體,都有與其動作、檔案大小、檔案雜湊和編譯程式碼不同的模式。這種模式稱為簽名。特徵碼式入侵偵測可檢查網路上的流量,以偵測惡意軟體特徵。雖然這是一種較舊的惡意軟體偵測形式,但特徵碼式偵測是準確的,而且在網路安全和資料保護方面仍然可行。
什麼是特徵碼式入侵偵測?
特徵碼式入侵偵測藉由比較系統活動與已知攻擊模式或特徵碼資料庫,以偵測惡意行為來識別威脅。
惡意軟體就像任何程式一樣,被編譯為二元電腦語言。其編譯的程式碼可以雜湊,以建立獨特的簽章,但其他特徵也可以建立簽章。惡意軟體執行的動作及其記憶體內程式碼可以決定其獨特的簽章。有些惡意軟體顯示儲存在記憶體中的作者片語,而其他惡意軟體則會將特定檔案儲存在特定位置,這些檔案也會進入特定模式。
現代惡意軟體通常會與命令和控制(C2)位置通訊。惡意軟體有硬式編碼的 IP 位址或網域名稱,可與作者通訊。通訊讓攻擊者知道目標電腦現在正在運行惡意軟體,攻擊成功。防火牆和入侵偵測系統可以偵測在這些 IP 位址和網域上進行通訊的要求,以警示管理員可疑活動。
特徵碼式入侵偵測如何運作
若要使用特徵碼式入侵偵測,您首先需要儲存惡意軟體特徵碼。特徵碼儲存在資料庫中,通常由入侵偵測供應商提供。被選為指標的簽名由資安研究人員決定,他們經常在開源位置分享他們的發現。例如,常用的 YARA 工具可用於分類和建立惡意軟體簽名。
入侵偵測系統會持續監控網路流量,以找出惡意軟體的特徵碼。它們將網路流量與儲存在入侵偵測系統資料庫中的特徵進行比較。當流量中偵測到特徵碼時,入侵偵測會採取警示管理員等行動。
特徵碼式入侵偵測的優勢
因為特徵碼是由惡意軟體所建立,因此比起其他異常偵測,系統更為準確。特徵碼是靜態的,前提是惡意軟體作者不會進行變更並引入變體,因此使用更新資料庫進行入侵偵測時,誤報很少。當入侵偵測錯誤地標記應用程式時,就會出現誤判。
特徵碼式偵測的另一個優勢是它快速,不需要任何基準資料。無需先收集資料即可快速識別簽名,以判斷活動是否符合基準。舉例來說,異常偵測需要檔案的活動基準,才能判斷存取請求是否太多可能是惡意軟體或常見的網路活動。
特徵碼式入侵偵測的限制
要擁有惡意軟體簽名,必須知道威脅。零時差威脅是野外看不見的威脅,因此沒有特徵碼可偵測。零時差威脅缺乏特徵碼,意味著依賴特徵碼的入侵偵測無法偵測到特徵碼。如果沒有完整的防護,這類入侵偵測會讓系統管理員產生錯誤的資安意識。
特徵碼式入侵偵測也比其他形式的入侵偵測需要更多資源。流量會與資料庫中的簽名清單不斷比較,您的簽名資料庫可能會有數百萬個儲存項目。若要使用特徵碼進行入侵偵測,您必須確保資料庫持續更新。雲端供應商通常提供更新,但本地儲存可能需要網路管理員手動操作。
使用案例與應用
任何擁有地端和雲端資料的產業都可以利用特徵碼式入侵偵測,但它通常被用作資料保護的單一元件。特徵碼式入侵偵測非常適合立即識別已知威脅,幾乎沒有誤報。舉例來說,醫療業者可利用這類入侵偵測來防範已知的勒索軟體。勒索軟體通常針對醫療機構、醫院和保險公司,因為它們通常使用過時的軟體。特徵碼式防護能立即阻止這些威脅,尤其是搭配入侵防護系統時。
客戶服務組織是另一個常見的目標,因為他們會收到客戶的附件以供審查。如果附件包含惡意軟體,則可能偵測到惡意軟體的簽名。入侵偵測對於下載並儲存第三方電子郵件附件的網路區段而言非常寶貴。
結論
企業級網路安全需要多層的保護。特徵碼式入侵偵測是其中一層,但您需要其他幾層才能完全保護環境。有了特徵碼式安全性,您就能保護環境免受已知威脅,這是資料外洩的一大要素。
儲存簽名和其他安全分析需要強大的儲存系統。Pure Storage 具備速度與容量,適用於複雜的入侵偵測的大型環境。Pure Storage 與 Elasticsearch 合作,提供更快速的搜尋和彈性的基礎架構,以利擴充。
