究竟防毒軟件是如何對抗勒索軟件呢?
現時勒索軟件仍然對用户有很大的影響,例如前文提到勒索軟件之中的代碼自動進行變化,便足以令到傳統的防毒軟件沒辦法取得證明勒索軟件的攔截條件,試問又如何能偵測到勒索軟件呢?
於是有廠商便想出了非常創新的方法去應付勒索軟件,那便是針對一旦用户「中招」後,勒索軟件的一些常用手段,通過判斷這些手段,從而對勒索軟件要進行的動作進行阻止,最終成功阻止勒索軟件所造成的破壞。
該廠商的名字大家都十分熟悉了,就是 Kaspersky。今次她們發明了一種全新的技術對付勒索軟件,其創新的想法值得一讚!
預防勒索軟件過程
步驟一
與很多防毒軟件一樣,Kaspersky 在開初會先以 Kaspersky Lab’s advanced anti-malware engines 掃描各種惡意軟件,並與其本身的病毒資料庫進行對比,當發現進入電腦的惡意攻擊流量或惡意軟件等等的時候,便會進行封鎖。
當然,我們都知道對於採用了變化碼的進階勒索軟件來說,傳統的方式是不能 100% 偵測得到的,而 Kaspersky 亦不例外。
步驟二
接著 Kaspersky 會開始採用一種名為 Proactive 的功能,這技術主要是用來偵測當通過了步驟一的程式在執行時會影響到系統上的那一些檔案;而針對勒索軟件,Kaspersky 會通過 Proactive 功能下的 HEURISTICS 技術,並分析惡意程式的目標及所影響的檔案、指令以及程式的設計架構,從而偵測出未知的惡意軟件以及其家族成員並盡可能進行攔截。
當然,面對變化碼的勒索軟件,此功能仍然無法 100% 將之封鎖,於是便出現了 System Watcher 這功能。
步驟三
當勒索軟件真的不幸地通過了步驟二的話,便輪到 Kaspersky SYSTEM WATCHER 出場的時侯了。System Watcher 能針對程式進行跟踪,並就其行為模式進行偵測及攔截。
正如剛才說過,勒索軟件的變化碼難以被偵測出來,然而當勒索軟件被執行後,變化碼終將會出現一條固定的演算法,而此時 System Watcher 便會發揮其作用,並對勒索軟件被執行後的行為進行監測,當發現行為出現異常時,便會即時終止有關行為,就是這樣令 Kaspersky 能針對勒索軟件提供更佳的防謢。
步驟四
最後,Kaspersky 亦會通過一種名為 ROLLBACK 的功能,從而協助用户進行備份工作。
當任何程式,例如是勒索軟件嘗試改變或加密系統中的任何檔案(例如加密 .doc、修改 .exe 檔案、MBR、Windows 系統檔案或改寫 Registry)時,此功能會在檔案被改變前自動備份有關檔案,換句話說當勒索軟件嘗試改變系統之中的檔案時,此功能會率先自動備份將會被改變的檔案,從而讓 Kaspersky 進行攔截時同時進行復原工作,並以此為用户提供最底層的保護,讓你即使面對勒索軟件亦可擁有最佳的防禦。
當然加密檔案的動作,不一定是勒索軟件作怪,有時亦是企業對保護資料所採取的正當措施;而修改 Registry,亦是安裝正當軟件時常見的行為。因此 Kaspersky 為免此「守尾門」的 System Watcher 功能影響系統日常運作,其實已預設了動態白名單 Dynamic Whitelisting,而且透過雲端資料庫持續更新,常見且被評為安全的程式行為就不會被錯誤攔截。
以上資訊由www.hkitblog.com提供
隨著網絡安全風險愈來愈高,各廠商亦開始與傳統的資安廠商合作,並將其防毒技術加入於方案之中,其中早前我們介紹過的 ShareTech 近日亦宣佈將會與 Kaspersky 攜手合作,從而提升網路閘道防護能力。
加入 Kaspersky防毒技術的方案包括其 UTM 與郵件伺服器設備。UTM 與郵件伺服器皆屬於閘道防護設備,許多惡意的攻擊行為像是病毒、蠕蟲、惡意程式、木馬、零日弱點、駭客都可能藉由網路流量傳播惡意的攻擊行為。
一直以來,ShareTech UTM 與郵件伺服器皆有提供閘道防毒及防駭的技術,從而確保企業用戶網路的安全。但是網路的攻擊手法越來越多變,如何在第一時間阻斷這些惡意的攻擊行為一直是廠商的一大目標。而透過與 Kaspersky 的防毒技術整合,便可實現為用户提供雙重完善的保護。
Kaspersky 整合閘道設備有二大系列:
UTM (UR 系列):提供深層網路防護機制,除了防毒、防火牆功能外,亦提供入侵偵測 IDP、Botnet 偵測防禦、防垃圾、流量分析與內網協同防禦機制。
郵件伺服器 (MS 系列):除了可以做為閘道過濾設備(Mail Gateway),亦提供郵件主機功能,完整防毒、防垃圾、郵件稽核…多層過濾機制功能,為企業打造一個安全郵件使用環境。
以上資訊由www.hkitblog.com提供
黑客入侵已是十分普遍的事情,主要原因在於用戶沒有作好最佳的準備,例如沒有安裝防毒軟件或設定有效的防火牆政策等,當然這些情況大部份只會出現在中小企內,事關中小企欠缺資源聘請專業的 IT 人員;在這種情況下﹐中小企或者可以替員工安裝不同的防毒軟件,從而確保中小企的網絡安全性。
今天全球最有錢的司機-「卡巴斯基」便正式推出新版的 Kaspersky Internet Security 及 Kaspersky Anti-Virus 2014。新版本加強了網上安全付款功能,為財務及私隱資料提供防護,更加入多項新技術,包括企業級的 ZETA Shield 防護盾技術及應用程式信任模式,多方截擊變化多端的惡意軟件。
網絡罪犯對準金融資料
現今的網絡罪案,已經不止是令電腦性能下降的惡作劇式攻擊,它們還會直接為網絡使用者帶來金錢損失。根據 Kaspersky 雲端安全網絡(KSN)的資料指出,每天平均有高達 200,000 種新型惡意軟件出現,而網路罪犯透過惡意軟件攻擊,特別是利用木馬程式及釣魚詐騙取得使用者的網上銀行及社交網絡帳戶,所得的利潤可高達數百萬美元!
根據 B2B International 於 2013 年 6 月進行的調查顯示,62% 的互聯網用戶在過去 12 個月內,至少遭遇過一次與網上銀行、購物或付款服務相關的網路攻擊,即使罪案被揭發,當中 41% 的受害者依然無法追回損失。
深層掃瞄揪出潛藏病毒
2014 版本加入了 ZETA Shield 防護盾技術,以持續更新的行為識別技術,對檔案和應用程式進行深層掃瞄,分析文件的資料串,揪出潛藏在檔案中的惡意代碼。除此以外,改進的漏洞入侵防護技術(Automatic Exploit Prevention),能更有效識別漏洞利用程式(Exploit)的典型行為,密切監視 Java、Adobe Reader 及 Office 等網路罪犯最常利用的程式,阻止他們利用軟件中的未知安全漏洞入侵電腦系統。
透過 ZETA Shield 及漏洞入侵防護技術深入掃描程式及監控可疑行為,方案可排除惡意軟件潛藏的可能性,並盡可能檢測及抵禦新出現的惡意威脅,杜絕利用系統漏洞的零時差攻擊。
加強保護網上財務
上一個版本之中,Kaspersky 已加入了一個名為網上安全付款(Safe Money)的功能,而今次介紹的新版 2014 亦同樣保留有關功能,同時亦對功能進行優化,包括:支援更多種類的網頁瀏覽器、大幅擴充受信任的網上銀行網站、付款服務及網上商店名單,令使用者在進行網上交易時受到更嚴密的防護。
全面對抗封鎖型病毒
近年以直接取得金錢利益為目標的惡意程式橫行,這類攻擊以偽冒防毒軟件或勒索木馬等形式出現,透過網頁及電郵引誘使用者上當。若使用者忽略一般防毒軟件的安全警告,隨便安裝來歷不明的程式,或被偽裝成音樂、文件檔案等的木馬欺騙,則很容易被惡意軟件成功入侵。一旦使用者電腦被感染,勒索木馬便能將系統「上鎖」,並要求使用者付款一定金額的「贖金」,才能「解鎖」受害電腦。面對電腦被封鎖而束手無策的使用者,情急下很可能付款了事,造成金錢損失。
而今次介紹的方案便特意針對有關的攻擊方式提供專用防護功能 - 封鎖型病毒防護(Anti-Blocker)。透過有關技術,當防毒軟件發現電腦被鎖定,並被要求付款贖金時,用戶只需按下預設的按鍵組合 (例如 Ctrl+Alt+F1),封鎖型病毒防護功能即會找出封鎖系統的惡意軟件,即時停止其對系統的影響並將其徹底清除,恢復電腦正常效能。
白名單防護模式
企業級的防護方案很多時都擁有黑名單、白名單功能,讓用戶能將不同的應用程式加到系統的信任名單(白名單)之中,這樣便可確保員工所執行的應用都是認可及安全的。而今次介紹的防毒軟件便加入所謂的應用程式信任模式(Trusted Application Mode),此模式開啟後,只有被評級為安全的應用程式才能被執行。
當然,中小企未必有足夠的人手時時更新名單,為此 Kaspersky 亦特意針對這問題聘用專人不斷更新應用程式白名單資料庫(資料庫包含超過 7 億條記錄,包括所有常用應用程式的詳細描述資訊,其中包括作業系統、瀏覽器、圖片程式、多媒體播放器以及遊戲等)為應用程式評級,加上多層檢查程式安全的技術系統,應用程式信任模式能為用戶提供極高級別的保護。
以上資訊由www.hkitblog.com提供
Categories: 市場快訊 Tags: AUTOMATIC EXPLOIT PREVENTION, KASPERSKY, KASPERSKY ANTI-VIRUS 2014, KASPERSKY INTERNET SECURITY, KSN, ZETA SHIELD, 入侵防護技術, 卡巴斯基, 封鎖型病毒, 封鎖型病毒防護, 惡意威脅, 惡意軟件, 應用程式信任模式, 木馬, 漏洞, 病毒, 網上安全付款, 網絡安全, 行為識別技術, 釣魚詐騙, 防毒軟件, 防火牆政策, 防護, 防護盾技術, 雲端安全網絡, 黑客