恶意软件作为最普遍的攻击媒介之一,构建恶意软件分析管道有助于帮助机构满足合规性要求,并且保护敏感数据和系统安全。OPSWAT 与 Dimensional Research 调查了 300 余名安全专家,这些人员都来自拥有至少 50 个员工的组织。所有参与调查的人员,都在安全运营中心(SOC)中负责恶意软件检测、分析与响应。通过调研,可以了解业界在恶意软件分析领域的成熟度,了解相应挑战与形势。
受访者背景
大多数安全专家都来自拥有 5000 名员工以上的公司,主要行业是金融、保险、IT、电信与医疗行业。
超过一半的受访者都表示其公司正在使用托管安全服务提供商(MSSP),一半的受访者每天能够分析 1000 到 10 万个文件/网址。
沙盒的使用
沙盒确实是防御恶意软件的重要技术,96% 的受访者都在使用沙盒进行恶意软件分析。本地部署沙盒与 SaaS 模式的沙盒是组织的首选:
53% 的受访者都表示组织在 2023 年会增加在恶意软件分析上的预算。大部分组织的预算会持平,只有少部分组织会削减预算。
对大公司来说更倾向于追加预算投入,选择本地化部署的沙盒。而小微企业追加投入的动力不大,而且往往选择 MSSP 托管的沙盒来使用。
供应商选择倾向
近六成的人会倾向于选择规模较大的、长期成熟的供应商合作,也有 15% 的受访者会更想要选择小型的创业公司。
大家对于规模较大的、成熟的企业往往更有信心:
恶意软件分析挑战
恶意软件分析一共有四方面的挑战:能力、工具、文件类型和交付方法。
在能力方面,近 70% 的受访者认为现有基于签名的检测方法在应对新兴威胁与高级威胁时是不够的。已有技术难以检测未知的和强规避的恶意软件样本文件,已经成为了受访者的痛点。除了未知威胁外,分析工具碎片化、沙盒维护成本高、可扩展性差、缺乏相关人员等老生常谈的问题也都赫然在列。
目前仍然有超过四成的受访者在面对大文件时,不是自动进行检查分析的。文件过大是一把双刃剑,一方面可能会增大怀疑,另一方面可能能够绕过检测措施。
在工具方面,近一半的受访者都认为他们根本没有足够的可用工具。当然,也有四分之一的受访者认为已经拥有的工具数量太多。
展望未来
目前已有 11% 的受访者已经在威胁检测和威胁情报领域使用人工智能(AI)技术。多达 56% 的受访者相信人工智能技术仍有巨大潜力,对 AI 的前景十分乐观。当然也有 27% 的受访者对人工智能技术十分感兴趣,但认为距离大规模应用仍存怀疑。业界对人工智能技术的态度是相对一致的,大多还是认可人工智能技术的潜力。
97% 的受访者正在或者计划使用动态分析来进行事件响应、被动扫描、实时检测、数字取证等。
91% 的受访者都将 IOC 作为恶意软件分析工作流中的一部分,IOC 可以帮助分析人员识别恶意软件家族、追踪威胁或者增强黑名单。
定制化的沙盒,例如能够复制企业桌面和服务器配置的那种深度定制化,实际上对组织是非常有吸引力的。
62% 的人认为采购不同厂商的沙盒是有价值的,有 16% 的人已经在这样用了。也有 21% 的人认为使用多个供应商的沙盒是没有价值的:
2022 年 OPSWAT 的恶意软件分析调查报告,可以参看以前的文章:
2022 年恶意软件分析调查报告
Avenger,公众号:威胁棱镜OPSWAT 2022 年恶意软件分析调查报告