下一代防病毒(NGAV)

NGAV是如何工作的? 

NGAV works by detecting 和 preventing 恶意软件 和 fileless attacks. It leverages pre-execution methodologies to protect against tactics, 技术, 和程序(TTPs)以及恶意行为，这些恶意行为是由不良行为者有意使用的，或者是由具有适当资格的人无意中使用的. 让我们仔细看看NGAV解决方案是如何实现其检测和预防目标的:

• 防止内存注入 阻止无文件威胁的尝试，从而避免从文件系统执行代码. 内存注入预防可以阻止注入并隐藏在合法进程中可能发生的恶意代码. 
• 恶意文档防范 破坏或解除试图滥用功能(如maros)的恶意文档, 脚本, 以及内置工具. 通过这样做, 它允许用户从现代应用程序的全部功能中受益，而不必担心感染. 
• 梦想着靠土地为生的预防 在不需要部署经典形式的恶意软件的情况下，干扰滥用系统原生工具的企图，否则这些工具会造成损害. Threats aren't able to "trampoline" off of these native tools to infect the endpoint. 
• Operating system credential dumping protection blocks 欺骗技术 比如盗窃证件. 

NGAV解决方案和服务提供商通常将技术设计为快速启动和运行的方式，而不会影响网络系统或端点的性能. 

NGAV vs. 传统的AV

When we talk about NGAV, those last two letters still loom large within culture. The term “antivirus” has been a part of computer-using society for decades, 所以有必要问一个问题:现代NGAV和传统的AV观念到底有什么不同?

反病毒主要侧重于保护端点和/或快速移除受影响的设备，这些设备可能是大型关键基础设施的一部分, thus causing potentially larger disruption among unaffected devices. This could lead to a business enduring significant financial 和 reputational damage.

NGAV moves beyond these traditional AV processes, 阻止各种攻击-包括无文件恶意软件-跨越整个端点生态系统. NGAV的主要目标是检测和防止攻击到达整个网络的关键端点. Not only that: Via ML 和 AI learning, it can help put a stop to evasive actions. More detection technology won’t solve the problem of 恶意软件 还有其他威胁, 相反，它是专注于预防的更智能的检测，将使攻击者处于防御状态.

One last key difference is focused on the previously mentioned concept of learning. 传统的AV can be heavy on an endpoint, 这意味着它并没有真正的能力去适应系统的独特行为——它就是这样, 永远都是这样. NGAV, 另一方面, can learn from past behaviors of the 端点, 系统, 和 networks on which it’s installed. 这就是为什么它如此擅长于在杀戮链中更早地发现逃避行为和阻止威胁.

NGAV的好处是什么? 

与传统的AV相比，NGAV的好处很多，可以加速组织的发展 network detection 和 response (NDR) 程序.

及早防范威胁 

For businesses 和 security organizations to st和 against modern threats, they must attempt to outpace bad-actor use of NGAV-thwarting technology. This includes blocking known 和 unknown threats sooner in the killchain, cutting off endpoint 和 deep-system access, 甚至是预防 网络访问 完全. 传统的反病毒通常使用基于签名的检测方法，而NGAV则结合了基于签名的检测方法, AI, 和 ML to surface the TTPs used by today’s attackers.

获得端点可见性 

如前所述, ML和AI赋予NGAV解决方案适应其任务保护系统中的特定行为的能力. 这有助于分析人员更深入地了解他们的端点和网络系统，以便他们可以防御威胁，并根据可能指示即将发生的攻击的遥测设计更好的保护措施.

快速查看结果

NGAV solutions are generally designed to be lightweight, 不会降低系统运行速度的附加技术，从而降低安全人员的工作效率. 它通常占用空间小，可以快速部署，驱动关键洞察，并更快地启用 mean-time-to-respond (MTTR) with actions like automated-asset 和 process containment.

发展传统AV 

With lower operational costs, more efficient 威胁情报 以及检测能力, 全面覆盖, NGAV解决方案通常是希望进一步整合整个技术堆栈的安全专业人员的理想选择. As a value-add for an existing detection 和 response (D&R) solution an organization may already have, NGAV can accelerate the breaking down of silos between security practices. This can be a productivity, efficiency, 和 growth driver for 安全操作中心(soc) 这可能已经捉襟见肘了.

NGAV Solution: Questions to Consider

就像任何解决方案一样——尤其是在一个名称中有“下一代”这个时髦短语的类别中购买——有很多选择和潜在的供应商. 因此，最好知道如何找到一个可以根据您的独特环境定制NGAV解决方案的解决方案.

• How are you using your current AV solution(s)? The heart of this question would center on strategy. 是否有一个系统或计划来部署AV，它究竟是为了保护什么? 如果一个标准的企业反病毒软件没有正确的设计来保护它所运行的系统, then your organization may need to recalibrate. 
• How much maintenance goes into AV on each endpoint? As covered extensively on this page, 现代NGAV解决方案超越了端点，在攻击到达单个系统之前先发制人. Maintaining AV running on multiple 端点 (hundreds? 成千上万的人?) doesn’t take advantage of NGAV predictive efficiencies enabled by AI 和 ML.
• How much visibility do you have into current endpoint events? 一个有能力的团队将对他们的网络及其上的端点有很好的可见性. 问题是, 你能否从更多可见性带来的洞察力中获益，并利用这些洞察力来更好地规划和主动防御? 
• How important are lower operational costs to your CISO? 答案似乎显而易见, 但是，与维护多供应商产品相比，打破孤岛和整合功能的整体解决方案越来越有助于提高生产力和降低总体成本. While those individual products may be effective, 当与组织保护伞下的其他定制解决方案一起使用时，它们可能会造成劳动力滞后.
• What is the current state of your cloud operations/security? 请记住，部署NGAV解决方案的理想状态是当前有强大的云操作. 这将使解决方案能够近乎实时地启动和运行，并几乎立即开始看到好处.

阅读更多

Antivirus: Latest Rapid7 博客 Posts

Rapid7研究: Encapsulating Antivirus (AV) Evasion Techniques in Metasploit Framework