在我们这个行业历史上,几乎每一个IT专业人员都非常清楚,有必要制定一个安全策略,这种策略不仅可以防范当前的威胁,也能防范未来的IT组织一样,在攻击方法中的“下一件大事”到来时,确保他们做好准备。
多年来,安全供应商一直在寻求阻止恶意软件,从纯粹基于签名的检测,到机器学习,再到利用云技术为许多终端提供有关恶意软件的最新更新。所有这些进步都改善了企业的安全立场,但网络犯罪组织已经也取得了自己的进展。
业界发现使用至少一种规避技术的恶意软件变种数量有所增加,这些技术专注于确保恶意软件本身逃避检测,允许它感染机器,或者处于休眠状态,等待另一个感染机会。在2017年恶意软件年度回顾报告中,分析了看到的漏洞利用工具包和有效负载组合,发现86%的漏洞利用工具包和85%的有效载荷都采用了规避技术。
这些百分比无需简单地传递,认为您的端点或电子邮件反病毒解决方案将阻止它们; 这些技术是根据防病毒解决方案的弱点专门设计的。这意味着坏人知道好人正在做些什么来发现恶意软件,并且正在想出新的方法来确保感染而不被发现。
逃避检测
如果您不熟悉规避恶意软件技术,可以将它们简化为我们在2017年看到的三种高级方法:
- 内存注入——有时称为“无文件”恶意软件,这种攻击技术将恶意代码直接放入内存,导致恶意逻辑耗尽其他合法应用程序,以混淆恶意软件的存在。研究报告中,我们看到这种技术占48%的时间。
- 恶意文档文件——通过PDF,Word文档等执行命令的功能。攻击者利用这些文件类型,因为在许多情况下,企业允许打开他们,并在没有问题的情况下运行内部代码,从而获得过去的检测解决方案。我们看到这种技术占用了28%的时间。
- 环境测试——坏人知道好人如何执行基于行为的测试(例如,“沙箱”,其中可疑文件打开PDF附件以查看它是否尝试执行恶意操作)。因此,恶意软件经常查询其环境可以识别威胁(例如检测沙箱或安全工具的存在),并保持休眠以避免检测。
应对增长
防病毒大约有三十年历史,但仍然是端点保护策略的核心。而且,尽管多年来在检测方法,更新速度,人工智能的包含以及甚至从世界任何地方的端点上学习更新的云源方面都有所改进,但防病毒仍然是一种反应性检测为重点的手段保护。
2017年,我们看到了规避恶意软件技术的兴起,成为恶意软件攻击的主流部分,使得从任何地方进行检测都变得困难到不可能。现在绝大多数恶意软件都采用了规避技术,现在是时候认识到你的安全策略已经不再具有前瞻性了。
防病毒在保护端点方面发挥着重要作用。但是,通过专门设计的解决方案来增强其安全性至关重要,该解决方案旨在防止恶意软件绕过基线保护。通过控制恶意软件如何感知其环境使其失效(如果程序具有规避特征)来实现此目的。例如,我们的技术在于恶意软件无法解压缩恶意代码,拒绝访问PowerShell以避免宏攻击或模拟每个端点上安全工具的存在,以说服恶意软件终止自我保护。通过将此层添加到现有端点安全策略中,可以缩小传统防病毒解决方案留下的空白。