基于網(wǎng)絡(luò)的惡意軟件檢測(cè)（NBMD）是基于簽名的端點(diǎn)反惡意軟件檢測(cè)的替代品。這種產(chǎn)品“總是開(kāi)啟狀態(tài)”，并且能夠應(yīng)對(duì)現(xiàn)代惡意軟件用來(lái)繞過(guò)客戶端安全使 用的技巧。然而，部署往往是一個(gè)挑戰(zhàn)：要發(fā)揮其最大的效果，NBMD必須采用串聯(lián)部署，而且，如果沒(méi)有精心配置，它可能變得過(guò)于“激進(jìn)”，破壞關(guān)鍵任務(wù)應(yīng) 用以及業(yè)務(wù)流程。

　　在本文中，我們將討論如何成功地串聯(lián)部署基于網(wǎng)絡(luò)的惡意軟件檢測(cè)，包括如何管理和配置這些系統(tǒng)來(lái)避免影響應(yīng)用基礎(chǔ)設(shè)施的最佳做法。

　　NBMD的優(yōu)勢(shì)

　　傳統(tǒng)的反惡意軟件檢測(cè)是基于供應(yīng)商的簽名：供應(yīng)商會(huì)隔離并檢查在網(wǎng)絡(luò)中發(fā)現(xiàn)的惡意軟件，并編寫(xiě)簽名來(lái)告訴反惡意軟件產(chǎn)品應(yīng)該如何辨識(shí)這種惡意軟件，然后，分發(fā)簽名到其反惡意軟件產(chǎn)品的客戶。

　　相比之下，NBMD則是在沙盒環(huán)境實(shí)際執(zhí)行可疑文件，以確定其行為是可疑還是惡意，從而確定已知和未知的惡意軟件。NBMD產(chǎn)品提供的這種額外分析可以發(fā)現(xiàn)難以檢測(cè)的定制的多態(tài)惡意軟件，這種惡意軟件通常用于高級(jí)持續(xù)威脅或者說(shuō)APT攻擊中。

　　雖然位于外圍的設(shè)備具有低延遲性（它不需要發(fā)送文件進(jìn)行分析），但在繁忙的網(wǎng)絡(luò)中檢查所有流量和未知文件仍然是一個(gè)巨大的挑戰(zhàn)，即使入站點(diǎn)和出站點(diǎn)保持在 最低限度。對(duì)于這個(gè)問(wèn)題，最新的NBMD產(chǎn)品的做法是，將部分或者全部分析轉(zhuǎn)移到云中，幫助降低成本、提高可擴(kuò)展性和準(zhǔn)確性。

　　基于云的NBMD服務(wù)的一大優(yōu)勢(shì)在于，通過(guò)對(duì)很多客戶遇到的大量惡意軟件進(jìn)行分析，客戶可以從中收益。并且，它能夠作為所有文件哈希、指標(biāo)和測(cè)試的中央資 料庫(kù)，這樣，新的惡意軟件的暴露面減少了，因?yàn)槲覀儾恍枰獙⒏碌慕Y(jié)果分發(fā)到所有本地設(shè)備。然而，NBMD在網(wǎng)絡(luò)內(nèi)部署的方式對(duì)其有效性以及普及率有著很 大的影響。

　　成功地部署基于網(wǎng)絡(luò)的惡意軟件檢測(cè)

　　為了最大限度地發(fā)揮NBMD產(chǎn)品的優(yōu)勢(shì)，NBMD需要進(jìn)行串聯(lián)式部署；與其他串聯(lián)部署的安全設(shè)備（例如防火墻和入侵防御系統(tǒng)）一樣，NBMD產(chǎn)品可以在惡 意軟件進(jìn)入網(wǎng)絡(luò)前，捕獲并阻止惡意軟件。帶外或者端口鏡像部署模型意味著它更像是典型的監(jiān)控器，檢查流量，當(dāng)發(fā)現(xiàn)惡意軟件進(jìn)入網(wǎng)絡(luò)時(shí)發(fā)送警報(bào)。但這種部署 不能很好地在服務(wù)器或者云中擴(kuò)展，因?yàn)楣芾韱T可能被警報(bào)“淹沒(méi)”，畢竟所有這些警報(bào)都需要進(jìn)行調(diào)查，并盡快解決以防止造成損害。串聯(lián)部署NBMD給了企業(yè) 更多的靈活性來(lái)發(fā)出警報(bào)或阻止。

　　雖然在惡意軟件進(jìn)入網(wǎng)絡(luò)前進(jìn)行阻止很好，但自動(dòng)地阻止所有可疑文件進(jìn)入網(wǎng)絡(luò)也有其缺點(diǎn)，即誤報(bào)可能會(huì)破壞關(guān)鍵應(yīng)用程序和影響用戶工作流程。順利地過(guò)渡到串 聯(lián)檢測(cè)以及從警報(bào)過(guò)渡到攔截的唯一方法是，花時(shí)間慢慢收緊規(guī)則來(lái)消除誤報(bào)造成的問(wèn)題。企業(yè)應(yīng)該對(duì)于供應(yīng)商所謂的自學(xué)型系統(tǒng)持懷疑態(tài)度；企業(yè)應(yīng)該定義政策， 并隨著時(shí)間的推移調(diào)整政策直到其可行，這里并沒(méi)有捷徑可走。

　　最初，企業(yè)可以將NBMD設(shè)備設(shè)置為僅阻止已知惡意文件，同時(shí)，對(duì)于任何存在不確定因素的文件發(fā)送警報(bào)，并確保有足夠的資源可用來(lái)處理這可能帶來(lái)的額外的 工作量。一旦確定某些文件類(lèi)型不會(huì)破壞任何進(jìn)程或者應(yīng)用程序，它們就可以從警報(bào)要求移除。在此期間，定期檢查關(guān)鍵應(yīng)用程序的日志以捕捉錯(cuò)誤消息，這可能發(fā) 現(xiàn)關(guān)鍵文件被阻止或延遲的跡象。同時(shí)警告支持臺(tái)，對(duì)于常見(jiàn)的工作流程，用戶可能會(huì)遇到延遲或者中斷，他們應(yīng)該會(huì)從用戶得到反饋，這個(gè)過(guò)程將有助于定義規(guī) 則。

　　NBMD也可用于識(shí)別各種其他企業(yè)威脅，包括可能是惡意的出站網(wǎng)絡(luò)流量，例如，感染的設(shè)備和攻擊者的命令控制中心之間的典型的通信。根據(jù)協(xié)議、目的地、時(shí) 間、文件類(lèi)型和數(shù)據(jù)包內(nèi)容等指標(biāo)，企業(yè)可以只允許某些應(yīng)用程序發(fā)送數(shù)據(jù)到網(wǎng)絡(luò)外部，這樣企業(yè)可以防止受感染設(shè)備發(fā)送數(shù)據(jù)出去，從而阻止數(shù)據(jù)泄漏。

　　然而，即使部署了良好設(shè)置的NBMD產(chǎn)品，企業(yè)仍需要在端點(diǎn)部署一些傳統(tǒng)反惡意軟件保護(hù)來(lái)加強(qiáng)保護(hù)，無(wú)論設(shè)備是否位于企業(yè)網(wǎng)絡(luò)。

　　展望NBMD的未來(lái)

　　對(duì)于努力應(yīng)對(duì)高級(jí)威脅的企業(yè)而言，在補(bǔ)充并最終取代傳統(tǒng)反惡意軟件程序的過(guò)程中，基于網(wǎng)絡(luò)的惡意軟件檢測(cè)產(chǎn)品是一個(gè)有吸引力的產(chǎn)品。雖然在NBMD部署過(guò)程中，仍然有很多障礙需要突破，如果企業(yè)能夠有足夠的毅力和決心來(lái)配置這些設(shè)備，最終將獲得豐富的回報(bào)。