介紹
文件完整性監控對於任何業務的安全都是必不可少的。它。我們研究了惡意軟體檢測的必要性,以解決防病毒系統中不可避免的缺陷。
惡意軟體檢測-防病毒的效果如何?
當惡意軟體入侵系統時(最常見的是Windows操作系統,但確定Linux和Solaris系統受到威脅(尤其是隨著運行Mac OS X的Apple工作站的重新流行)),將需要以某種方式執行該惡意軟體盡其惡行。
這意味著必須在系統上植入某種系統文件-可執行文件,驅動程序或dll。特洛伊木馬通過替換合法的操作系統或程序文件來確保無需任何用戶干預即可執行該木馬。當程序運行或操作系統執行其常規任務之一時,將執行木馬程序。
在用戶工作站上,諸如互聯網瀏覽器,pdf閱讀器之類的第三方應用程序以及諸如MS Word或Excel之類的普通用戶軟體包已被定位為中間惡意軟體的媒介。打開文檔或電子表格時,惡意軟體可以利用應用程序中的漏洞,從而可以下載和執行惡意軟體。
無論哪種方式,總會有許多相關的文件更改。合法的系統文件將被替換或新的系統文件被添加到系統中。
如果幸運的話,您將不會是這種特定類型的惡意軟體的第一個受害者,並且您的視音頻系統(如果最近進行了更新)將具有必要的簽名定義,以識別和阻止該惡意軟體。
如果不是這種情況,並且請記住,每月都會引入數百萬個新的惡意軟體變體,則您的系統將受到損害,通常在您不了解任何情況的情況下,而惡意軟體會悄悄地開展業務,破壞系統或竊取您的系統數據。
FIM-趕上惡意軟體和其他防病毒系統的小姐
當然,除非您正在使用文件完整性監視。
企業級FIM將檢測任何異常文件系統活動。異常很重要,因為許多文件會在系統上頻繁更改,因此FIM系統足夠智能以了解系統的正常運行情況並僅標記真正的安全事件至關重要。
但是,應將排除和例外情況保持在最低限度,因為FIM在「零容忍」條件下運行時處於最佳狀態。改變的方法。制定惡意軟體的目的是使其有效,這意味著它既必須成功分發,也必須在未經檢測的情況下運行。
分銷方面的挑戰已在創新方面看到了很多。誘使用戶以圖片形式誘騙帶有惡意軟體誘餌的電子郵件,贏得大獎和名人流言all語都已成功傳播了惡意軟體。網路釣魚電子郵件提供了令人信服的理由,可以單擊並輸入詳細信息或下載表單,特別針對性的Spear網路釣魚電子郵件甚至負責欺騙最精通網路安全性的用戶。
無論使用哪種媒介,一旦惡意軟體進入系統,它就可能具有在網路內傳播到其他系統的手段。
因此,早期檢測至關重要。正如我們已經強調的那樣,您根本無法依靠防病毒系統來達到100%有效。
FIM提供了零容忍度。文件系統更改。沒有任何可能是或不是惡意軟體的猜測,可以保證報告了所有惡意軟體,從而使FIM在檢測到任何此類違規行為時100%有效。
摘要
FIM非常適合作為惡意軟體檢測技術,因為它不容易出現「簽名滯後」的情況。或「零日漏洞」那是阿喀琉斯的致命弱點防病毒系統的高跟鞋。與大多數安全最佳實踐一樣,建議總是更好,並且將反病毒軟體(即使存在已知缺陷)與FIM結合使用將提供最佳的總體保護。 AV可有效抵禦舊版惡意軟體,其自動防護功能可以隔離大多數威脅,以免造成任何損害。但是,當惡意軟體確實逃避了AV時,就像某些壓力總是會發生的那樣,實時FIM可以提供至關重要的安全網。