Безопасность на основе поведения и безопасность на основе сигнатур: чем они отличаются

С быстрым прогрессом в нынешнюю цифровую эпоху киберпреступники также применяют передовые методы для атаки на свои цели. Часто можно увидеть, как они адаптируются и используют сложные методы для нацеливания и заражения своих жертв. Например, когда хакеры под ником Shadow Brokers в апреле 2017 года раскрыли секретный эксплойт АНБ под названием EternalBlue, в течение следующих нескольких дней несколько киберпреступников воспользовались этим эксплойтом для создания смертоносного кибероружия массового уничтожения. Традиционные методы обеспечения безопасности, такие как программное обеспечение для защиты от вредоносных программ на основе сигнатур, больше не способны бороться с такими изощренными угрозами. Более продвинутые методы обнаружения и предотвращения вредоносного ПО с помощью поведенческого анализа — это не просто модные словечки, они стали стандартной нормой для нескольких отраслей. В этой статье представлены некоторые сведения о недостатках безопасности на основе сигнатур и о том, как безопасность на основе поведения помогает достичь требуемых уровней безопасности.

Безопасность на основе подписи

Каждое вредоносное ПО имеет уникальную подпись (уникальную строку битов, зашифрованный хэш или двоичный шаблон), которую можно рассматривать как отпечаток пальца для уникальной идентификации этого вредоносного ПО. С момента появления вредоносных программ большинство антивирусных технологий использовали обнаружение вредоносных программ на основе сигнатур в качестве основного оружия против попыток проникновения вредоносных программ. Программное обеспечение для защиты от вредоносных программ будет отслеживать все данные, поступающие в систему, и сканировать содержимое, чтобы проверить, совпадают ли исходный код или хэши в файлах или пакетах с какой-либо из известных вредоносных программ. Методы обнаружения на основе сигнатур были просты в реализации и обновлении для поставщиков систем безопасности. Для этого все поставщики средств защиты от вредоносных программ поддерживали свои библиотеки известных и выявленных угроз. Эффективность и точность этих программных продуктов измерялись с точки зрения поставщика, имеющего максимальное количество сигнатур вредоносного ПО, и их способности включать новые сигнатуры и передавать их в клиентские системы. Этот метод обеспечивает отличную и надежную защиту от миллионов известных и активных угроз.

Ограничения безопасности на основе подписи

Программное обеспечение на основе сигнатур полезно для обнаружения и защиты от уже известных или идентифицированных угроз, но они имеют некоторые ограничения. Они не могут обнаруживать недавно обнаруженные угрозы, такие как атаки нулевого дня, которые не известны миру до тех пор, пока их не увидят в дикой природе. Некоторые из недавних примеров таких атак включают атаки программ-вымогателей WannaCry и Petya, которые нанесли максимальный ущерб из-за этого основного недостатка в существующих системах безопасности. Кроме того, чтобы воспользоваться этим недостатком, киберзлоумышленники начали видоизменять свой вредоносный код, внося небольшие изменения таким образом, чтобы их вредоносное ПО продолжало генерировать новые сигнатуры, сохраняя при этом свою вредоносную функциональность. Это можно сделать с помощью простых методов преобразования кода, таких как вставка ненужного кода, применение перестановок кода, расширение или сокращение кода и переименование регистров. Это позволяет злоумышленникам наносить удары в быстрой последовательности, вызывая катастрофические последствия. Чтобы бороться с такими атаками, вместо того, чтобы полагаться на сканирование безопасных файлов, поставщики средств защиты должны сосредоточиться на выявлении основной природы или поведения вредоносного ПО.

Безопасность на основе поведения

Программное обеспечение безопасности на основе поведения разработано со встроенным интеллектом для учета отклонений от сигнатур вредоносных программ и способно определять, могут ли входящие файлы представлять какую-либо угрозу для сетей или систем. Это обеспечивает эффективный способ защиты устройств конечных пользователей, сетевых элементов и серверов от любых вредоносных или даже потенциально вредоносных действий.

При обнаружении на основе поведения программное обеспечение запрограммировано на анализ и оценку каждой отдельной строки кода и анализ всех потенциальных действий, которые могут выполняться этим кодом, таких как доступ к любым критически важным или нерелевантным файлам, процессам или внутренним службам. Выполнение инструкций на уровне ОС и низкоуровневого кода на уровне руткита также включено в этот анализ. Программное обеспечение пытается обнаружить все вредоносные или потенциально вредоносные действия, которые могут иметь какие-либо неблагоприятные последствия, и уведомляет заинтересованных лиц о необходимости предпринять необходимые действия.

Может быть несколько аспектов вредоносного поведения, которые необходимо сканировать. Это включает в себя обнаружение вторжений на основе поведения, анализ угроз на основе поведения и продукты для анализа поведения пользователей. Большинство программ, основанных на поведении, следуют механизму управления, основанному на политике. Стандартный набор политик, основанный на опыте и знаниях поставщика, помогает определить поведение, которое может выполняться. Кроме того, это программное обеспечение также позволяет администраторам создавать или изменять политики, чтобы разрешать или запрещать любые особые требования, которые могут быть характерны для данной организации или отрасли.

Большинство решений для поведенческого обнаружения оснащены передовыми технологиями, такими как машинное обучение, расширенный механизм корреляции и поведенческая биометрия, которые позволяют отображать типичное вредоносное поведение, такое как установка руткита, попытки обнаружения среды песочницы или попытки отключить элементы управления безопасностью.

Ограничения безопасности на основе поведения

Обнаружение на основе сигнатур использует механизм статического анализа, который можно выполнять в режиме реального времени. Но это не относится к безопасности на основе поведения. Динамический анализ по нескольким измерениям приводит к некоторой задержке, что отрицательно сказывается на производительности.

Кроме того, существует категория вредоносных программ, которые сначала пытаются определить, запущены ли они в песочнице. Такое вредоносное ПО, оснащенное технологией защиты от песочницы, может избежать обнаружения, предотвращая любые вредоносные действия. Кроме того, некоторые решения для обеспечения безопасности на основе поведения основаны исключительно на облаке, что может не соответствовать политикам и нормам соответствия.

Внедрение безопасности на основе поведения: краткие советы

Каждая отрасль и организация уникальны и имеют свои собственные определения и параметры безопасности. Например, в некоторых финансовых организациях наличие двух-трех неудачных попыток может быть приемлемой нормой, но в некоторых критически важных отраслях, таких как энергетика или нефть, наличие одной неудачной попытки также может рассматриваться как тревожная ситуация.

Из-за природы безопасности на основе поведения почти наверняка потребуется некоторый уровень настройки, когда вы захотите реализовать ее в своей среде. Индивидуальные настройки, основанные на потребностях вашего бизнеса, не могут быть получены «из коробки». Первоначальные базовые параметры, установленные поставщиком, и рекомендации лидеров отрасли могут помочь начать работу, но в конечном итоге вам потребуется выполнить точную настройку, чтобы оптимизировать любое программное обеспечение безопасности на основе поведения для вашей организации.

При внедрении безопасности на основе поведения организации должны учитывать следующее:

• Начните заранее: вместо того, чтобы ждать какого-либо переломного момента или крупного инцидента, начните изучать все возможные варианты внедрения безопасности на основе поведения. Попробуйте доступные варианты, чтобы получить некоторые ноу-хау, прежде чем делать реальные инвестиции.
• Соберите все возможные данные: когда для анализа будет доступно больше данных, у системы, основанной на машинном обучении, будет больше шансов выявить аномалии.
• Используйте оптимальные инструменты. На рынке доступно несколько инструментов машинного обучения, как открытых, так и коммерческих. Изучите их и выберите тот, для которого у вас будет правильное сочетание опыта, совместимости и бюджета вашей организации.
• Регулярно улучшайте себя: преступники постоянно меняют свои методы атаки и продолжают пробовать новые и разные способы проникновения в целевые сети. Таким образом, вы также должны постоянно пересматривать и улучшать свои политики безопасности на основе поведения, чтобы находить и блокировать этих злоумышленников.

Безопасность на основе подписи и безопасность на основе поведения: используйте правильную комбинацию

Как сигнатурные, так и поведенческие методы обнаружения вредоносных программ имеют свои преимущества и недостатки. Правильное сочетание этих двух факторов помогает организациям достичь повышенного уровня защиты. Например, в то время как безопасность на основе поведения может помочь избежать любой новой угрозы вредоносного ПО нулевого дня, быстрый просмотр соответствующих параметров (индикаторов компрометации) в существующем брандмауэре на основе сигнатур и программном обеспечении для защиты от вредоносных программ может мгновенно помочь предотвратить массовые наводнения или волны этих атак, обеспечивая дополнительные уровни безопасности в сетях. Оптимальная безопасность может быть достигнута при правильном сочетании обеих технологий.