基于網絡的惡意軟件檢測（NBMD）是基于簽名的端點反惡意軟件檢測的替代品。這種產品“總是開啟狀態”，并且能夠應對現代惡意軟件用來繞過客戶端安全使 用的技巧。然而，部署往往是一個挑戰：要發揮其最大的效果，NBMD必須采用串聯部署，而且，如果沒有精心配置，它可能變得過于“激進”，破壞關鍵任務應 用以及業務流程。

　　在本文中，我們將討論如何成功地串聯部署基于網絡的惡意軟件檢測，包括如何管理和配置這些系統來避免影響應用基礎設施的最佳做法。

　　NBMD的優勢

　　傳統的反惡意軟件檢測是基于供應商的簽名：供應商會隔離并檢查在網絡中發現的惡意軟件，并編寫簽名來告訴反惡意軟件產品應該如何辨識這種惡意軟件，然后，分發簽名到其反惡意軟件產品的客戶。

　　相比之下，NBMD則是在沙盒環境實際執行可疑文件，以確定其行為是可疑還是惡意，從而確定已知和未知的惡意軟件。NBMD產品提供的這種額外分析可以發現難以檢測的定制的多態惡意軟件，這種惡意軟件通常用于高級持續威脅或者說APT攻擊中。

　　雖然位于外圍的設備具有低延遲性（它不需要發送文件進行分析），但在繁忙的網絡中檢查所有流量和未知文件仍然是一個巨大的挑戰，即使入站點和出站點保持在 最低限度。對于這個問題，最新的NBMD產品的做法是，將部分或者全部分析轉移到云中，幫助降低成本、提高可擴展性和準確性。

　　基于云的NBMD服務的一大優勢在于，通過對很多客戶遇到的大量惡意軟件進行分析，客戶可以從中收益。并且，它能夠作為所有文件哈希、指標和測試的中央資 料庫，這樣，新的惡意軟件的暴露面減少了，因為我們不需要將更新的結果分發到所有本地設備。然而，NBMD在網絡內部署的方式對其有效性以及普及率有著很 大的影響。

　　成功地部署基于網絡的惡意軟件檢測

　　為了最大限度地發揮NBMD產品的優勢，NBMD需要進行串聯式部署；與其他串聯部署的安全設備（例如防火墻和入侵防御系統）一樣，NBMD產品可以在惡 意軟件進入網絡前，捕獲并阻止惡意軟件。帶外或者端口鏡像部署模型意味著它更像是典型的監控器，檢查流量，當發現惡意軟件進入網絡時發送警報。但這種部署 不能很好地在服務器或者云中擴展，因為管理員可能被警報“淹沒”，畢竟所有這些警報都需要進行調查，并盡快解決以防止造成損害。串聯部署NBMD給了企業 更多的靈活性來發出警報或阻止。

　　雖然在惡意軟件進入網絡前進行阻止很好，但自動地阻止所有可疑文件進入網絡也有其缺點，即誤報可能會破壞關鍵應用程序和影響用戶工作流程。順利地過渡到串 聯檢測以及從警報過渡到攔截的唯一方法是，花時間慢慢收緊規則來消除誤報造成的問題。企業應該對于供應商所謂的自學型系統持懷疑態度；企業應該定義政策， 并隨著時間的推移調整政策直到其可行，這里并沒有捷徑可走。

　　最初，企業可以將NBMD設備設置為僅阻止已知惡意文件，同時，對于任何存在不確定因素的文件發送警報，并確保有足夠的資源可用來處理這可能帶來的額外的 工作量。一旦確定某些文件類型不會破壞任何進程或者應用程序，它們就可以從警報要求移除。在此期間，定期檢查關鍵應用程序的日志以捕捉錯誤消息，這可能發 現關鍵文件被阻止或延遲的跡象。同時警告支持臺，對于常見的工作流程，用戶可能會遇到延遲或者中斷，他們應該會從用戶得到反饋，這個過程將有助于定義規 則。

　　NBMD也可用于識別各種其他企業威脅，包括可能是惡意的出站網絡流量，例如，感染的設備和攻擊者的命令控制中心之間的典型的通信。根據協議、目的地、時 間、文件類型和數據包內容等指標，企業可以只允許某些應用程序發送數據到網絡外部，這樣企業可以防止受感染設備發送數據出去，從而阻止數據泄漏。

　　然而，即使部署了良好設置的NBMD產品，企業仍需要在端點部署一些傳統反惡意軟件保護來加強保護，無論設備是否位于企業網絡。

　　展望NBMD的未來

　　對于努力應對高級威脅的企業而言，在補充并最終取代傳統反惡意軟件程序的過程中，基于網絡的惡意軟件檢測產品是一個有吸引力的產品。雖然在NBMD部署過程中，仍然有很多障礙需要突破，如果企業能夠有足夠的毅力和決心來配置這些設備，最終將獲得豐富的回報。