什么是下一代病毒(NGAV)?

下一代防病毒软件 被认为是防病毒(AV)解决方案功能的一个进步, 众所周知的杠杆作用, 基于签名的防御技术与 扩展检测和响应(XDR) 结合人工智能(AI)和/或机器学习(ML)的功能. 通过利用高级分析来关联来自多个遥测源的警报, NGAV可以快速识别可操作的威胁情报,以更快地预测和预防威胁. 

NGAV以基于云的软件的形式部署,对系统和系统的影响较小 端点,并且在组织和企业中日益成为更常见的AV类型.

NGAV vs. 端点检测和响应(EDR)

在某种意义上, 当XDR和NGAV一起工作时, 它们既保护了网络边界,又扩展了网络之外的威胁检测技术. EDR发生在位于安全边界内的端点. 不法分子仍然可以找到方法进入手机或笔记本电脑等终端, 所以一个好的EDR解决方案是最后一道防线.

NGAV vs. 反恶意软件

再一次,这是广义和具体的区别. 如上所述, 现代NGAV解决方案旨在利用先进的分析来确保安全, 预测, 防御网络内外的威胁. 反恶意软件解决方案主要用于扫描单个系统,以查找绕过安全控制的恶意软件.

NGAV是如何工作的? 

NGAV的工作原理是检测和防止恶意软件和无文件攻击. 它利用预执行方法来防止战术, 技术, 和程序(TTPs)以及恶意行为,这些恶意行为是由不良行为者有意使用的,或者是由具有适当资格的人无意中使用的. 让我们仔细看看NGAV解决方案是如何实现其检测和预防目标的:

  • 防止内存注入 阻止无文件威胁的尝试,从而避免从文件系统执行代码. 内存注入预防可以阻止注入并隐藏在合法进程中可能发生的恶意代码. 
  • 恶意文档防范 破坏或解除试图滥用功能(如maros)的恶意文档, 脚本, 以及内置工具. 通过这样做, 它允许用户从现代应用程序的全部功能中受益,而不必担心感染. 
  • 梦想着靠土地为生的预防 在不需要部署经典形式的恶意软件的情况下,干扰滥用系统原生工具的企图,否则这些工具会造成损害. 威胁无法从这些本地工具中“蹦蹦跳跳”地感染端点. 
  • 操作系统凭证转储保护块 欺骗技术 比如盗窃证件. 

NGAV解决方案和服务提供商通常将技术设计为快速启动和运行的方式,而不会影响网络系统或端点的性能. 

NGAV vs. 传统的AV

当我们谈论NGAV时,这最后两个字母在文化中仍然很突出. 几十年来,“反病毒”这个词一直是使用计算机的社会的一部分, 所以有必要问一个问题:现代NGAV和传统的AV观念到底有什么不同?

反病毒主要侧重于保护端点和/或快速移除受影响的设备,这些设备可能是大型关键基础设施的一部分, 因此可能会对未受影响的设备造成更大的干扰. 这可能会导致企业遭受重大的财务和声誉损失.

NGAV超越了这些传统的AV流程, 阻止各种攻击-包括无文件恶意软件-跨越整个端点生态系统. NGAV的主要目标是检测和防止攻击到达整个网络的关键端点. 不仅如此,通过机器学习和人工智能学习,它还可以帮助阻止逃避行为. 再多的检测技术也解决不了问题 恶意软件 还有其他威胁, 相反,它是专注于预防的更智能的检测,将使攻击者处于防御状态.

最后一个关键区别在于之前提到的学习概念. 传统的AV在端点上可能很重, 这意味着它并没有真正的能力去适应系统的独特行为——它就是这样, 永远都是这样. NGAV, 另一方面, 能否从端点过去的行为中学习, 系统, 以及安装了它的网络. 这就是为什么它如此擅长于在杀戮链中更早地发现逃避行为和阻止威胁.

NGAV的好处是什么? 

与传统的AV相比,NGAV的好处很多,可以加速组织的发展 网络检测与响应(NDR) 程序.

及早防范威胁 

为企业和安全组织抵御现代威胁, 他们必须努力超越使用ngav阻挠技术的坏人. 这包括在杀戮链中更快地阻止已知和未知的威胁, 切断终端和深层系统访问, 甚至是预防 网络访问 完全. 传统的反病毒通常使用基于签名的检测方法,而NGAV则结合了基于签名的检测方法, AI, 和ML来揭示当今攻击者使用的http.

获得端点可见性 

如前所述, ML和AI赋予NGAV解决方案适应其任务保护系统中的特定行为的能力. 这有助于分析人员更深入地了解他们的端点和网络系统,以便他们可以防御威胁,并根据可能指示即将发生的攻击的遥测设计更好的保护措施.

快速查看结果

NGAV解决方案通常被设计为轻量级的, 不会降低系统运行速度的附加技术,从而降低安全人员的工作效率. 它通常占用空间小,可以快速部署,驱动关键洞察,并更快地启用 mean-time-to-respond (MTTR) 使用自动化资产和流程控制等操作.

发展传统AV 

具有更低的运营成本、更高的效率 威胁情报 以及检测能力, 全面覆盖, NGAV解决方案通常是希望进一步整合整个技术堆栈的安全专业人员的理想选择. 作为现有检测和响应(D&R)组织可能已经有的解决方案, NGAV可以加速打破安全实践之间的孤岛. 这可以是生产力、效率和增长的驱动力 安全操作中心(soc) 这可能已经捉襟见肘了.

NGAV解决方案:需要考虑的问题

就像任何解决方案一样——尤其是在一个名称中有“下一代”这个时髦短语的类别中购买——有很多选择和潜在的供应商. 因此,最好知道如何找到一个可以根据您的独特环境定制NGAV解决方案的解决方案.

  • 您如何使用当前的AV解决方案?? 这个问题的核心是战略. 是否有一个系统或计划来部署AV,它究竟是为了保护什么? 如果一个标准的企业反病毒软件没有正确的设计来保护它所运行的系统, 那么你的组织可能需要重新校准. 
  • 每个端点上的AV需要多少维护? 正如本页广泛讨论的那样, 现代NGAV解决方案超越了端点,在攻击到达单个系统之前先发制人. 维护AV在多个端点(数百个)上运行? 成千上万的人?)没有利用人工智能和机器学习支持的NGAV预测效率.
  • 您对当前端点事件的可见性有多大? 一个有能力的团队将对他们的网络及其上的端点有很好的可见性. 问题是, 你能否从更多可见性带来的洞察力中获益,并利用这些洞察力来更好地规划和主动防御? 
  • 降低运营成本对首席信息安全官来说有多重要? 答案似乎显而易见, 但是,与维护多供应商产品相比,打破孤岛和整合功能的整体解决方案越来越有助于提高生产力和降低总体成本. 虽然这些单独的产品可能有效, 当与组织保护伞下的其他定制解决方案一起使用时,它们可能会造成劳动力滞后.
  • 你的云操作/安全的当前状态是什么? 请记住,部署NGAV解决方案的理想状态是当前有强大的云操作. 这将使解决方案能够近乎实时地启动和运行,并几乎立即开始看到好处.

阅读更多

防病毒:最新的Rapid7博客文章

Rapid7研究: 在Metasploit框架中封装反病毒(AV)规避技术