Next Generation Antivirus (NGAV)

Detect malicious intent earlier.

Managed NGAV Services

Topic Overview

Gartner®2024威胁暴露管理战略路线图

管理威胁暴露并不容易——这是一系列短暂的防御和进攻任务,每个组织看起来都不一样.

Download the Report

什么是下一代病毒(NGAV)?

Next Generation Antivirus 被认为是防病毒(AV)解决方案功能的一个进步, and leverages known, 基于签名的防御技术与 扩展检测和响应(XDR) 结合人工智能(AI)和/或机器学习(ML)的功能. 通过利用高级分析来关联来自多个遥测源的警报, NGAV可以快速识别可操作的威胁情报,以更快地预测和预防威胁. 

NGAV以基于云的软件的形式部署,对系统和系统的影响较小 endpoints,并且在组织和企业中日益成为更常见的AV类型.

NGAV vs. 端点检测和响应(EDR)

In a sense, when XDR and NGAV work together, 它们既保护了网络边界,又扩展了网络之外的威胁检测技术. EDR发生在位于安全边界内的端点. 不法分子仍然可以找到方法进入手机或笔记本电脑等终端, 所以一个好的EDR解决方案是最后一道防线.

NGAV vs. Anti-malware

再一次,这是广义和具体的区别. As mentioned above, 现代NGAV解决方案旨在利用先进的分析来确保安全, anticipate, 防御网络内外的威胁. 反恶意软件解决方案主要用于扫描单个系统,以查找绕过安全控制的恶意软件.

How Does NGAV Work? 

NGAV的工作原理是检测和防止恶意软件和无文件攻击. 它利用预执行方法来防止战术, techniques, 和程序(TTPs)以及恶意行为,这些恶意行为是由不良行为者有意使用的,或者是由具有适当资格的人无意中使用的. 让我们仔细看看NGAV解决方案是如何实现其检测和预防目标的:

  • Memory injection prevention 阻止无文件威胁的尝试,从而避免从文件系统执行代码. 内存注入预防可以阻止注入并隐藏在合法进程中可能发生的恶意代码. 
  • Malicious documents prevention 破坏或解除试图滥用功能(如maros)的恶意文档, scripts, and built-in tools. By doing this, 它允许用户从现代应用程序的全部功能中受益,而不必担心感染. 
  • Living-off-the-land prevention 在不需要部署经典形式的恶意软件的情况下,干扰滥用系统原生工具的企图,否则这些工具会造成损害. 威胁无法从这些本地工具中“蹦蹦跳跳”地感染端点. 
  • 操作系统凭证转储保护块 deception technology like credential-theft attempts. 

NGAV解决方案和服务提供商通常将技术设计为快速启动和运行的方式,而不会影响网络系统或端点的性能. 

NGAV vs. Traditional AV

当我们谈论NGAV时,这最后两个字母在文化中仍然很突出. 几十年来,“反病毒”这个词一直是使用计算机的社会的一部分, 所以有必要问一个问题:现代NGAV和传统的AV观念到底有什么不同?

反病毒主要侧重于保护端点和/或快速移除受影响的设备,这些设备可能是大型关键基础设施的一部分, 因此可能会对未受影响的设备造成更大的干扰. 这可能会导致企业遭受重大的财务和声誉损失.

NGAV超越了这些传统的AV流程, 阻止各种攻击-包括无文件恶意软件-跨越整个端点生态系统. NGAV的主要目标是检测和防止攻击到达整个网络的关键端点. 不仅如此,通过机器学习和人工智能学习,它还可以帮助阻止逃避行为. 再多的检测技术也解决不了问题 malware and other threats, 相反,它是专注于预防的更智能的检测,将使攻击者处于防御状态.

最后一个关键区别在于之前提到的学习概念. 传统的AV在端点上可能很重, 这意味着它并没有真正的能力去适应系统的独特行为——它就是这样, and that’s all it will ever be. NGAV, on the other hand, 能否从端点过去的行为中学习, systems, 以及安装了它的网络. 这就是为什么它如此擅长于在杀戮链中更早地发现逃避行为和阻止威胁.

What are the Benefits of NGAV? 

与传统的AV相比,NGAV的好处很多,可以加速组织的发展 网络检测与响应(NDR) program.

Prevent Threats Earlier 

为企业和安全组织抵御现代威胁, 他们必须努力超越使用ngav阻挠技术的坏人. 这包括在杀戮链中更快地阻止已知和未知的威胁, 切断终端和深层系统访问, or even preventing network access entirely. 传统的反病毒通常使用基于签名的检测方法,而NGAV则结合了基于签名的检测方法, AI, 和ML来揭示当今攻击者使用的http.

Gain Endpoint Visibility 

As previously mentioned, ML和AI赋予NGAV解决方案适应其任务保护系统中的特定行为的能力. 这有助于分析人员更深入地了解他们的端点和网络系统,以便他们可以防御威胁,并根据可能指示即将发生的攻击的遥测设计更好的保护措施.

See ladbrokes立博中文版 Fast

NGAV解决方案通常被设计为轻量级的, 不会降低系统运行速度的附加技术,从而降低安全人员的工作效率. 它通常占用空间小,可以快速部署,驱动关键洞察,并更快地启用 mean-time-to-respond (MTTR) 使用自动化资产和流程控制等操作.

Evolve Traditional AV 

具有更低的运营成本、更高的效率 threat intelligence and detection capabilities, and comprehensive coverage, NGAV解决方案通常是希望进一步整合整个技术堆栈的安全专业人员的理想选择. 作为现有检测和响应(D&R)组织可能已经有的解决方案, NGAV可以加速打破安全实践之间的孤岛. 这可以是生产力、效率和增长的驱动力 security operations centers (SOCs) that may already be stretched thin.

NGAV解决方案:需要考虑的问题

就像任何解决方案一样——尤其是在一个名称中有“下一代”这个时髦短语的类别中购买——有很多选择和潜在的供应商. 因此,最好知道如何找到一个可以根据您的独特环境定制NGAV解决方案的解决方案.

  • 您如何使用当前的AV解决方案?? 这个问题的核心是战略. 是否有一个系统或计划来部署AV,它究竟是为了保护什么? 如果一个标准的企业反病毒软件没有正确的设计来保护它所运行的系统, 那么你的组织可能需要重新校准. 
  • 每个端点上的AV需要多少维护? As covered extensively on this page, 现代NGAV解决方案超越了端点,在攻击到达单个系统之前先发制人. 维护AV在多个端点(数百个)上运行? thousands?)没有利用人工智能和机器学习支持的NGAV预测效率.
  • 您对当前端点事件的可见性有多大? 一个有能力的团队将对他们的网络及其上的端点有很好的可见性. The question is, 你能否从更多可见性带来的洞察力中获益,并利用这些洞察力来更好地规划和主动防御? 
  • 降低运营成本对首席信息安全官来说有多重要? The answer here may seem obvious, 但是,与维护多供应商产品相比,打破孤岛和整合功能的整体解决方案越来越有助于提高生产力和降低总体成本. 虽然这些单独的产品可能有效, 当与组织保护伞下的其他定制解决方案一起使用时,它们可能会造成劳动力滞后.
  • 你的云操作/安全的当前状态是什么? 请记住,部署NGAV解决方案的理想状态是当前有强大的云操作. 这将使解决方案能够近乎实时地启动和运行,并几乎立即开始看到好处.

Read More

Antivirus: Latest Rapid7 Blog Posts

Rapid7 Research: 在Metasploit框架中封装反病毒(AV)规避技术

Related Topics

Endpoint Security

Endpoint Security
Read Topic

数字取证和事件响应(DFIR)

Endpoint Security
Read Topic

入侵侦测及防御系统(IDPS)

Endpoint Security
Read Topic

Threat Hunting

Endpoint Security
Read Topic
View More Topics View More Topics