恶意软件变体的疯狂增长给端点安全带来了巨大挑战。随着端点的数量和种类的明显增加，企业必须部署外围网络安全技术来保护所有最终用户、服务器和流量，以及应对不断增长的流量、恶意软件以及其它网络威胁。

基于网络的恶意软件检测(NBMD)是基于签名的端点反恶意软件检测的替代品。这种产品“总是开启状态”，并且能够应对现代恶意软件用来绕过客户端安全使用的技巧。然而，部署往往是一个挑战：要发挥其最大的效果，NBMD必须采用串联部署，而且，如果没有精心配置，它可能变得过于“激进”，破坏关键任务应用以及业务流程。

在本文中，我们将讨论如何成功地串联部署基于网络的恶意软件检测，包括如何管理和配置这些系统来避免影响应用基础设施的最佳做法。

NBMD的优势

传统的反恶意软件检测是基于供应商的签名：供应商会隔离并检查在网络中发现的恶意软件，并编写签名来告诉反恶意软件产品应该如何辨识这种恶意软件，然后，分发签名到其反恶意软件产品的客户。

相比之下，NBMD则是在沙盒环境实际执行可疑文件，以确定其行为是可疑还是恶意，从而确定已知和未知的恶意软件。NBMD产品提供的这种额外分析可以发现难以检测的定制的多态恶意软件，这种恶意软件通常用于高级持续威胁或者说APT攻击中。

虽然位于外围的设备具有低延迟性(它不需要发送文件进行分析)，但在繁忙的网络中检查所有流量和未知文件仍然是一个巨大的挑战，即使入站点和出站点保持在最低限度。对于这个问题，最新的NBMD产品的做法是，将部分或者全部分析转移到云中，帮助降低成本、提高可扩展性和准确性。

基于云的NBMD服务的一大优势在于，通过对很多客户遇到的大量恶意软件进行分析，客户可以从中收益。并且，它能够作为所有文件哈希、指标和测试的中央资料库，这样，新的恶意软件的暴露面减少了，因为我们不需要将更新的结果分发到所有本地设备。然而，NBMD在网络内部署的方式对其有效性以及普及率有着很大的影响。

成功地部署基于网络的恶意软件检测

为了最大限度地发挥NBMD产品的优势，NBMD需要进行串联式部署;与其他串联部署的安全设备(例如防火墙和入侵防御系统)一样，NBMD产品可以在恶意软件进入网络前，捕获并阻止恶意软件。带外或者端口镜像部署模型意味着它更像是典型的监控器，检查流量，当发现恶意软件进入网络时发送警报。但这种部署不能很好地在服务器或者云中扩展，因为管理员可能被警报“淹没”，毕竟所有这些警报都需要进行调查，并尽快解决以防止造成损害。串联部署NBMD给了企业更多的灵活性来发出警报或阻止。

虽然在恶意软件进入网络前进行阻止很好，但自动地阻止所有可疑文件进入网络也有其缺点，即误报可能会破坏关键应用程序和影响用户工作流程。顺利地过渡到串联检测以及从警报过渡到拦截的唯一方法是，花时间慢慢收紧规则来消除误报造成的问题。企业应该对于供应商所谓的自学型系统持怀疑态度;企业应该定义政策，并随着时间的推移调整政策直到其可行，这里并没有捷径可走。

最初，企业可以将NBMD设备设置为仅阻止已知恶意文件，同时，对于任何存在不确定因素的文件发送警报，并确保有足够的资源可用来处理这可能带来的额外的工作量。一旦确定某些文件类型不会破坏任何进程或者应用程序，它们就可以从警报要求移除。在此期间，定期检查关键应用程序的日志以捕捉错误消息，这可能发现关键文件被阻止或延迟的迹象。同时警告支持台，对于常见的工作流程，用户可能会遇到延迟或者中断，他们应该会从用户得到反馈，这个过程将有助于定义规则。

NBMD也可用于识别各种其他企业威胁，包括可能是恶意的出站网络流量，例如，感染的设备和攻击者的命令控制中心之间的典型的通信。根据协议、目的地、时间、文件类型和数据包内容等指标，企业可以只允许某些应用程序发送数据到网络外部，这样企业可以防止受感染设备发送数据出去，从而阻止数据泄漏。