基于網絡的惡意軟件檢測（NBMD）是基于簽名的端點反惡意軟件檢測的替代品。這種產品“總是開啟狀態(tài)”，并且能夠應對現(xiàn)代惡意軟件用來繞過客戶端安全使 用的技巧。然而，部署往往是一個挑戰(zhàn)：要發(fā)揮其最大的效果，NBMD必須采用串聯(lián)部署，而且，如果沒有精心配置，它可能變得過于“激進”，破壞關鍵任務應 用以及業(yè)務流程。

　　在本文中，我們將討論如何成功地串聯(lián)部署基于網絡的惡意軟件檢測，包括如何管理和配置這些系統(tǒng)來避免影響應用基礎設施的最佳做法。

　　NBMD的優(yōu)勢

　　傳統(tǒng)的反惡意軟件檢測是基于供應商的簽名：供應商會隔離并檢查在網絡中發(fā)現(xiàn)的惡意軟件，并編寫簽名來告訴反惡意軟件產品應該如何辨識這種惡意軟件，然后，分發(fā)簽名到其反惡意軟件產品的客戶。

　　相比之下，NBMD則是在沙盒環(huán)境實際執(zhí)行可疑文件，以確定其行為是可疑還是惡意，從而確定已知和未知的惡意軟件。NBMD產品提供的這種額外分析可以發(fā)現(xiàn)難以檢測的定制的多態(tài)惡意軟件，這種惡意軟件通常用于高級持續(xù)威脅或者說APT攻擊中。

　　雖然位于外圍的設備具有低延遲性（它不需要發(fā)送文件進行分析），但在繁忙的網絡中檢查所有流量和未知文件仍然是一個巨大的挑戰(zhàn)，即使入站點和出站點保持在 最低限度。對于這個問題，最新的NBMD產品的做法是，將部分或者全部分析轉移到云中，幫助降低成本、提高可擴展性和準確性。

　　基于云的NBMD服務的一大優(yōu)勢在于，通過對很多客戶遇到的大量惡意軟件進行分析，客戶可以從中收益。并且，它能夠作為所有文件哈希、指標和測試的中央資 料庫，這樣，新的惡意軟件的暴露面減少了，因為我們不需要將更新的結果分發(fā)到所有本地設備。然而，NBMD在網絡內部署的方式對其有效性以及普及率有著很 大的影響。

　　成功地部署基于網絡的惡意軟件檢測

　　為了最大限度地發(fā)揮NBMD產品的優(yōu)勢，NBMD需要進行串聯(lián)式部署；與其他串聯(lián)部署的安全設備（例如防火墻和入侵防御系統(tǒng)）一樣，NBMD產品可以在惡 意軟件進入網絡前，捕獲并阻止惡意軟件。帶外或者端口鏡像部署模型意味著它更像是典型的監(jiān)控器，檢查流量，當發(fā)現(xiàn)惡意軟件進入網絡時發(fā)送警報。但這種部署 不能很好地在服務器或者云中擴展，因為管理員可能被警報“淹沒”，畢竟所有這些警報都需要進行調查，并盡快解決以防止造成損害。串聯(lián)部署NBMD給了企業(yè) 更多的靈活性來發(fā)出警報或阻止。

　　雖然在惡意軟件進入網絡前進行阻止很好，但自動地阻止所有可疑文件進入網絡也有其缺點，即誤報可能會破壞關鍵應用程序和影響用戶工作流程。順利地過渡到串 聯(lián)檢測以及從警報過渡到攔截的唯一方法是，花時間慢慢收緊規(guī)則來消除誤報造成的問題。企業(yè)應該對于供應商所謂的自學型系統(tǒng)持懷疑態(tài)度；企業(yè)應該定義政策， 并隨著時間的推移調整政策直到其可行，這里并沒有捷徑可走。

　　最初，企業(yè)可以將NBMD設備設置為僅阻止已知惡意文件，同時，對于任何存在不確定因素的文件發(fā)送警報，并確保有足夠的資源可用來處理這可能帶來的額外的 工作量。一旦確定某些文件類型不會破壞任何進程或者應用程序，它們就可以從警報要求移除。在此期間，定期檢查關鍵應用程序的日志以捕捉錯誤消息，這可能發(fā) 現(xiàn)關鍵文件被阻止或延遲的跡象。同時警告支持臺，對于常見的工作流程，用戶可能會遇到延遲或者中斷，他們應該會從用戶得到反饋，這個過程將有助于定義規(guī) 則。

　　NBMD也可用于識別各種其他企業(yè)威脅，包括可能是惡意的出站網絡流量，例如，感染的設備和攻擊者的命令控制中心之間的典型的通信。根據協(xié)議、目的地、時 間、文件類型和數據包內容等指標，企業(yè)可以只允許某些應用程序發(fā)送數據到網絡外部，這樣企業(yè)可以防止受感染設備發(fā)送數據出去，從而阻止數據泄漏。

　　然而，即使部署了良好設置的NBMD產品，企業(yè)仍需要在端點部署一些傳統(tǒng)反惡意軟件保護來加強保護，無論設備是否位于企業(yè)網絡。

　　展望NBMD的未來

　　對于努力應對高級威脅的企業(yè)而言，在補充并最終取代傳統(tǒng)反惡意軟件程序的過程中，基于網絡的惡意軟件檢測產品是一個有吸引力的產品。雖然在NBMD部署過程中，仍然有很多障礙需要突破，如果企業(yè)能夠有足夠的毅力和決心來配置這些設備，最終將獲得豐富的回報。