正在閱讀:現代惡意軟體戰勝網路防禦措施的5種方式及措施現代惡意軟體戰勝網路防禦措施的5種方式及措施

2019-02-27 00:15 出處:PConline原創 作者:卡夫卡 責任編輯:sunziyi

  【PConline 雜談】惡意軟體是數據洩露的重要載體。研究表明,無論是最初的入侵、在網路中擴展或者是竊取數據,51%的數據洩露都使用了惡意軟體。然而,儘管惡意軟體是關鍵的攻擊向量,企業卻無法抵禦在網路中肆意運行的數據竊取惡意軟體。事實上,某些規模最大、最廣為人知的數據洩露都是由未偵測到的惡意軟體造成的。

  這是為什麼呢?現代惡意軟體的出現就是為了規避傳統的惡意軟體防禦措施的。目前的惡意軟體是複雜的多向量攻擊武器,採用了一系列的規避攻擊和偽裝技術來規避偵測措施。在攻擊者和防禦者的博弈中,駭客會不斷尋找始終領先現有防禦系統一步的新方法。這裡,我們為各位歸納了5種現代惡意軟體常見的規避技術,以及它們是如何戰勝傳統惡意軟體防禦措施的。

  多態惡意軟體:許多傳統的惡意軟體防禦措施可以針對已知的惡意軟體特徵碼進行防禦。現代的數據竊取惡意軟體可以透過不斷的偽裝或變形來解決這一點。只需簡單地改變代碼,攻擊者就可以輕鬆地為文件產生一個全新的二進制特徵碼。變形的零日惡意軟體戰勝了殺毒軟體、電子郵件過濾、IPS/IDS和沙盒等基於特徵碼的防禦措施。

  無文件惡意軟體:許多惡意軟體防禦工具會透過關注靜態文件和作業系統(OS)進程來偵測惡意活動。然而,越來越多的攻擊者採用了只在運行時記憶體中執行的無文件惡意軟體技術,不會在目標主機上留下任何痕跡,因此對基於文件的防禦措施是透明的。無文件惡意軟體戰勝了IPS/IDS、用戶與實體行為分析(UEBA)、殺毒軟體和沙盒。

  加密有效負載:某些惡意軟體防禦措施採用了內容掃描來攔截敏感數據洩露。攻擊者會透過加密被感染主機和命令控制(C&C)伺服器之間的資訊傳送來躲過這一措施。加密有效負載戰勝了DLP、終端偵測響應(EDR)和Web安全通訊閘(SWG)。

  域產生算法(DGA):某些惡意軟體防禦措施包含已知C&C伺服器的地址,可以阻斷這些伺服器之間的資訊傳送。然而,具備域產生功能的惡意軟體可以透過定期修改C&C地址細節並使用未知地址來解決這個問題。戰勝了Web安全通訊閘(SWG)、終端偵測響應(EDR)和沙盒。

  主機欺詐:偽造頭文件資訊可以混淆數據的真實目的地,因此可以繞過針對已知C&C伺服器地址的防禦措施。戰勝了Web安全通訊閘(SWG)、IPS/IDS和沙盒。

  那麼,企業要如何應對呢?其實,戰勝零日規避式惡意軟體並不容易,但企業可以采取下面幾個重要措施來嚴格限制這些惡意軟體的影響:

  採用多層防禦措施:保護企業防禦規避式惡意軟體並不是一件一勞永逸的事情。相反,這是一項持續的工作,需要將端點防禦(例如殺毒軟體)和防火牆、Web安全通訊閘等網路層防護措施結合起來。只有多層防護措施才能實現完全的安全覆蓋。

  關注零日惡意軟體:在目前常見的惡意軟體中,零日惡意軟體佔了50%。現有的惡意軟體防禦措施通常都無法偵測到零日惡意軟體,這是造成數據丟失的主要原因。因此,企業亟需能夠明確識別並偵測到零日惡意軟體的惡意軟體防禦機制。

  進行流量分析:數據竊取惡意軟體攻擊以整個網路為目標,竊取敏感數據。儘管感染可能來自用戶端點,但攻擊者通常會將其擴展到網路資源中。因此,惡意軟體防禦解決方案不僅要關注網路中的某個區域或資源類型,還要全盤考慮整個網路,並分析正在發生的攻擊事件。

  利用大數據:偵測零日惡意軟體的一個關鍵因素就是能夠從長期積累的海量資訊中採集數據。這就使得防禦者可以偵測全球範圍內的惡意軟體活動,並將看似無關的活動關聯起來,追蹤惡意軟體的發展和演變。

 
性能那麼好為什麼不買佳能印表機?原來門道在這 現代惡意軟體戰勝網路防禦措施的5種方式及措施 在虛擬的互聯網上 你能猜出哪張是真人照片嗎? 每天還在悠哉的上網?其實網路黑產就在你身邊 作為第五代移動通信網路 5G電影院是怎樣的體驗

為您推薦

加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多

網路設備論壇帖子排行

最高點擊 最高回覆 最新
最新資訊離線隨時看 聊天吐槽贏獎品