什麼是有效載荷簽章?
基於 Payload 的簽章可偵測檔案內容中的模式,而非雜湊值等屬性,因此可辨識並阻擋更改過的惡意軟體。
安全工具通常利用以雜湊、檔名或 URL 等容易變更的變數為基礎的簽章,來識別和防止已知的 惡意軟體 感染系統。使用這種類型的簽章,識別威脅基本上需要與簽章尋找的特定變數進行一一對應。
惡意軟體 作者現在可以輕易地為現有的惡意軟體創造數千個變種,其中只包含輕微的變更,以繞過簽章比對。由於傳統簽章需要對每個獨特檔案進行一一對應的靜態匹配,因此這些細微的變化會讓惡意軟體無法被偵測到。
隨著攻擊者的演進,防護措施也在演進,組織應考慮利用以有效負載為基礎的簽章的安全防護措施,這些措施可偵測檔案實際內容的模式,而非簡單的屬性 (如雜湊值)。如果已知的惡意軟體有任何改變,導致全新的雜湊值或其他細微變化,基於有效載荷的簽章仍能識別並阻擋原本會被視為新的未知威脅的惡意軟體。
雖然以有效載荷為基礎的簽章需要更多的證據和更大的資料集製作,但安全性團隊最終需要撰寫和部署的簽章數量較少,因為每個簽章都能更有效地阻擋變種和多形性惡意軟體,並提供更廣大的防護網。使用以有效載荷為基礎的簽章,一個簽章可以封鎖同一惡意軟體系列的數萬個變種。結果是以一對多的方式偵測惡意軟體,預防速度明顯更快、更成功。
Palo Alto Networks Next-Generation Security Platform 利用威脅情報雲端 (Threat Intelligence Cloud),包括透過 WildFire偵測未知威脅,以及 Threat Prevention 訂閱的強制執行功能,在整個組織內自動發佈基於有效載荷的簽章。該平台可利用其專屬、基於簽署的高保真格式,獨一無二地防止多種惡意軟體變種以及命令與控制流量。