最近我读了一篇关于恶意软件开发APP客户端的有趣文章. SentinelOne、Cisco AMP和其他防病毒产品都依赖于VirusTotal信息交换中心. T他是一个拥有大约67家杀毒软件供应商的信息交换中心. 各种杀毒和高级端点产品上传可疑程序询问,“这是病毒吗??". 你得到了x/67的分数,无论供应商认为它不好. 得分越高,你就越确定这是恶意软件.
文章指出,恶意分子有意识地提前将恶意代码上传到VirusTotal和其他在线分析工具,以获得分数! 他们用它来验证他们编写的代码是主要的反病毒供应商无法检测到的. 2015年的一份报告称,大约有1起,500例恶意软件代码被提前上传以测试其可删除性!
一旦他们得到一个不错的分数,他们就会发布他们的恶意软件.
今年3月,针对微软和Adobe的两起攻击都未能成功,因为在攻击发生前提交概念验证测试时发现了预发布的恶意软件代码.
这清楚地说明了回顾功能的重要性,通过机器学习,你可以重新分析你已经确定安全的软件. 如果对先前扫描的理解发生了变化, 然后,高级端点保护产品立即改变其位置并阻塞, 杀死, 和/或映射坏代码在您的网络中的位置.
事实上,坏人正在使用我们用来询问的工具,“这是一个东西吗??“击败杀毒引擎进一步证明了传统杀毒软件的缺陷越来越多. 我们必须有一个分层的防御,除了传统方法之外,还要寻找行为,并根据我们现在所知道的重新审视我们认为我们当时所知道的. 这就是机器学习. 这就是APP客户端高级端点保护正在快速取代传统的防病毒软件.
这引出了我们从客户那里听到的下一个问题. 他们没有时间再做一件事来提醒他们,告诉他们出了问题. 他们忙得团团转,试图处理正常的工作量. 如果有不好的事情发生, 他们可能不会每时每刻都在关注,即使他们在关注, 他们可能不知道如何及时回应.
网络安全行业正在向安全运营中心(SOC)发展。. 这些是由经验丰富的网络安全专家组成的团队,他们监视从所有端点流出的所有数据,以及用于确定是否发生爆发的分析数据库.
当不好的事情发生时,SOC团队会通知攻击 和 然后真正介入来弥补攻击.
根据操作系统版本和选择的高级端点保护软件,可能包括实际回滚感染,因此它从未发生过. 检测和响应是SOC服务的一部分,该服务还包括高级端点保护客户端.
CSI提供了圣骑士网络哨兵服务,以更高的水平监视您的网络,而不是up/down和基本硬件故障. 我们的产品之一是网络哨兵端点检测 & 回应(EDR). 这种AEP解决方案不仅提供端点,还提供SOC团队监视您的端点,并直接干预以关闭和修复实际攻击.
我们有网络哨兵端点检测 & 响应部署在我们的办公室. 我无辜地部署了“软件更新”,结果却被SOC团队联系,怀疑有不正常的可疑行为. 我亲眼目睹了SOC小组被警告我的工作站受到了攻击, 立即介入并杀死袭击者, 把我的工作站恢复到感染前的水平不用我做什么,也不用打电话给任何人! 在窗户。环境下, 这是一种回滚功能,通过安全存储的强化版卷影子副本来撤销恶意软件感染所造成的任何损害.
虽然不是唯一的解决方案,但它是整体网络安全防御的另一层.
越来越多的客户正在用高级端点保护取代或补充传统的防病毒软件,为他们的网络增加这一新的安全级别.
如果您想探索如何将高级端点产品与熟练的网络安全专业人员团队相结合,以更好地监视您的网络端点, 让我们来谈谈它如何适应你的环境.
最近的评论