När datorns malware först uppträdde i slutet av 1980-talet - mestadels den ökända Morris Worm - ledde skadan till födelsen av cybersäkerhetsindustrin. I de tidiga dagarna menade cybersäkerhet ganska antivirusprogram (AV).

Sedan dess debut har AV huvudsakligen åberopat att upptäcka signaturer för redan identifierad skadlig kod för att stoppa de kända dåliga filerna från att exekvera.

Under de senaste 25 åren var antivirusprogrammet det första och ibland enda försvaret som används av många företag i ett försök att skydda sina datorer och den kritiska informationen om dem från de alltmer förödande effekterna av skadlig kod.

AV fungerar genom att utföra periodiska punkt-i-tid-skanningar på specifika slutpunkter eller systemkomponenter. Det bästa som de flesta av dessa lösningar kan erbjuda är delvis, och oftast ex post facto, se på vad som redan har hänt.

Tiden är dock en kritisk faktor för att upptäcka och förebygga avancerade hot. Med ett skanningsbaserat system finns det en signifikant "uppehållstid" under vilken malware är bosatt och aktivt. Även om en skanning råkar hämtas upp är frågan hur länge det har varit på systemet och vad har det gjort sedan det kom fram?

Även om uppehållstiden inte är lång är det ofta tillräckligt länge för en avancerad cyberattack att få farliga konsekvenser. Alla attackerbehov är tillräckligt med tid att ringa ut och få instruktioner om hur man kommer någon annanstans inom ditt system, samtidigt som man inför strategier som hindrar dig från att upptäcka skadlig programvara.

Så problemet med den genomsökningsbaserade metoden för antivirusprogram är att tillverkarna av avancerad skadlig kod inte faktiskt använder befintlig programvara med kända signaturer för att släppa lös deras kaos.

Sofistikerade hot aktörer

Dessa sofistikerade hot-aktörer sysselsätter några av de mest begåvade programutvecklarna på planeten för att utföra cyberattacker och deras uppdrag är att slå sina mål med unik programvara som aldrig har sett före nolldagattacker - att störa företag och regeringar genom att stjäla pengar, data och annan proprietär information och orsakar allmänt kaos.

För att effektivt bekämpa dagens avancerade attacker behöver företagen i realtid synlighet i varje slutpunkt och server som alltid är med kontinuerlig övervakning som låter dig se varje händelse som det händer. Point-in-time-skanningar och ögonblicksbilder skapar luckor i synlighet som gör att du är sårbar.

Du måste se misstänkta händelser i samband med vad som händer på alla dina slutpunkter, snarare än som isolerade instanser på enskilda slutpunkter. För att göra det behöver du en lösning som kan övervaka:

  • Ankomsten och exekveringen av varje fil med exekverbar kod (program, skript, etc.)
  • Varje kritisk systemresurs (minne, processer etc.)
  • Systemregistret ändras
  • USB-enheter
  • Kritiska filer

Och för att vara effektiv måste synligheten vara realtid och kontinuerlig eftersom de flesta skadliga program skadas inom en kvart i timmen och morphs eller raderar sig själv. Du behöver veta vad som är bosatt och kör nu.

Om Adobe Acrobat eller Microsoft Excel till exempel spelar en okänd körbar på din dator är det förmodligen skadligt. Executables ska inte ha JPEG- eller PDF-tillägg, och processer får aldrig gå tom för papperskorgen.

Visning i realtid och kontinuerlig övervakning

En av de största bristerna i traditionella säkerhetsmetoder är att de flesta offer bara vet att de har brutits och att värdefulla uppgifter har skadats eller stulits efter att gärningsmannen har lämnat den virtuella byggnaden.

I stället för att arbeta för att förhindra attacker genom att använda realtidsvisibility och kontinuerlig övervakning för att förhindra attacker, försöker företag som använder sig av traditionellt antivirus som sin primära säkerhetsmetod för det mesta att försöka bestämma omfattningen av skadan orsakad av en attack och räkna ut hur man åtgärdar det.

Slutsatsen är att attacker händer i realtid. Så säkerheten måste hända i realtid också. Säkerheten måste vändas på huvudet och bli proaktiv snarare än reaktiv.

Om det inte gör det kommer företagen att vara fasta i sin egen version av filmen Groundhog Day, återuppleva smärtan som orsakas av nolldagar och riktade attacker som enkelt omgå traditionella säkerhetslösningar om och om igen. Och igen.

  • Harry Sverdlove, Bit9s Chief Technology Officer, drar från nästan två decennier av applikationsdesign och analys med branschledande IT-företag för att lägga till ett nytt lager av teknisk expertis och strategisk vision för Bit9s Trust-based Security Platform.