介绍
文件完整性监控对于任何业务的安全都是必不可少的。它。我们研究了恶意软件检测的必要性,以解决防病毒系统中不可避免的缺陷。
恶意软件检测-防病毒的效果如何?
当恶意软件入侵系统时(最常见的是Windows操作系统,但确定Linux和Solaris系统受到威胁(尤其是随着运行Mac OS X的Apple工作站的重新流行)),将需要以某种方式执行该恶意软件尽其恶行。
这意味着必须在系统上植入某种系统文件-可执行文件,驱动程序或dll。特洛伊木马通过替换合法的操作系统或程序文件来确保无需任何用户干预即可执行该木马。当程序运行或操作系统执行其常规任务之一时,将执行木马程序。
在用户工作站上,诸如互联网浏览器,pdf阅读器之类的第三方应用程序以及诸如MS Word或Excel之类的普通用户软件包已被定位为中间恶意软件的媒介。打开文档或电子表格时,恶意软件可以利用应用程序中的漏洞,从而可以下载和执行恶意软件。
无论哪种方式,总会有许多相关的文件更改。合法的系统文件将被替换或新的系统文件被添加到系统中。
如果幸运的话,您将不会是这种特定类型的恶意软件的第一个受害者,并且您的视音频系统(如果最近进行了更新)将具有必要的签名定义,以识别和阻止该恶意软件。
如果不是这种情况,并且请记住,每月都会引入数百万个新的恶意软件变体,则您的系统将受到损害,通常在您不了解任何情况的情况下,而恶意软件会悄悄地开展业务,破坏系统或窃取您的系统数据。
FIM-赶上恶意软件和其他防病毒系统的小姐
当然,除非您正在使用文件完整性监视。
企业级FIM将检测任何异常文件系统活动。异常很重要,因为许多文件会在系统上频繁更改,因此FIM系统足够智能以了解系统的正常运行情况并仅标记真正的安全事件至关重要。
但是,应将排除和例外情况保持在最低限度,因为FIM在“零容忍”条件下运行时处于最佳状态。改变的方法。制定恶意软件的目的是使其有效,这意味着它既必须成功分发,也必须在未经检测的情况下运行。
分销方面的挑战已在创新方面看到了很多。诱使用户以图片形式诱骗带有恶意软件诱饵的电子邮件,赢得大奖和名人流言all语都已成功传播了恶意软件。网络钓鱼电子邮件提供了令人信服的理由,可以单击并输入详细信息或下载表单,特别针对性的Spear网络钓鱼电子邮件甚至负责欺骗最精通网络安全性的用户。
无论使用哪种媒介,一旦恶意软件进入系统,它就可能具有在网络内传播到其他系统的手段。
因此,早期检测至关重要。正如我们已经强调的那样,您根本无法依靠防病毒系统来达到100%有效。
FIM提供了零容忍度。文件系统更改。没有任何可能是或不是恶意软件的猜测,可以保证报告了所有恶意软件,从而使FIM在检测到任何此类违规行为时100%有效。
摘要
FIM非常适合作为恶意软件检测技术,因为它不容易出现“签名滞后”的情况。或“零日漏洞”那是阿喀琉斯的致命弱点防病毒系统的高跟鞋。与大多数安全最佳实践一样,建议总是更好,并且将反病毒软件(即使存在已知缺陷)与FIM结合使用将提供最佳的总体保护。 AV可有效抵御旧版恶意软件,其自动防护功能可以隔离大多数威胁,以免造成任何损害。但是,当恶意软件确实逃避了AV时,就像某些压力总是会发生的那样,实时FIM可以提供至关重要的安全网。