<
>

阻止隐藏的威胁:如何防御无文件攻击

就像海啸在世界某些地区造成严重破坏一样,无文件攻击也在网络安全领域造成了类似的破坏。无文件攻击基本上是一套策略,可用来入侵系统而不在硬盘上安装任何恶意软件,因此使启发式扫描程序(如AV(防病毒)应用程序)无法检测到它。无文件攻击正在增长,并且根据  波尼蒙研究所,几乎所有攻击技术中的77%是无文件的。
 
通过针对我们最不希望成为系统威胁的地方(例如shellcode和注册表),无文件攻击变得更加狡猾且更加难以捉摸。通过使用已经安装的工具或运行简单的Shellcode和脚本,可以在几秒钟内序列化并完成攻击。当然,当“ delta T”(或执行攻击的时间因素)几乎为零时,损害是不可逆的或可控制的。
 
首次重大的无文件恶意软件攻击 针对美国餐厅的Calicum / Fin7集团 在2017年底向整个网络社区发出了冲击波,此后一直没有减弱。最新发现 哨兵一号 在2018年上半年完成的《企业风险指数报告》中,无文件攻击上升了94%。此外,该报告还推论出,防病毒(AV)软件不知道检测到的总检测量的70%,而该病毒仍被忽略,因此本应保护的系统已被破坏。
 
无文件攻击的作案手法很简单。逃避检测并使用shellcode和注册表项进行入侵。由于我们能够清楚地说明操作方法,因此我们应该能够看到隧道尽头的光线。有许多实用的技巧和方法可减轻无文件攻击的风险。例如,通过了解应用程序清单,阻止漏洞利用并实施攻击行为分析解决方案,以主动搜索恶意活动。
 
这些新方法需要一个全面的保护平台,并且为了与成本相关,理想情况下应该是云原生的。这种提供的一个公平的例子是 云原生CrowdStrikeFalcon®平台 它提供了一种革命性的方法,将所有必需的安全功能与先进的下一代保护机制(例如机器学习,行为分析和连续监控)结合在一起,可以保护组织免受当今最复杂的无文件攻击。
 
通常,当发生安全漏洞时,我们通常会认为它源自外部恶意组织。具有讽刺意味的是,现实是大多数安全漏洞始于组织内部。内部人员在无文件攻击中的作用非常重要,因为它们可以轻松,特权地访问关键系统。由于人为因素很容易造成身份劫持,因此财务上的安德鲁或约翰总是披着狼来。这种劫持形式将导致无文件攻击。
 
阻止内部漏洞的一种横向方法是部署具有下一代功能(如全局威胁情报和沙箱)的平台。就后者而言,我们可以创建一个单独的,受限制的环境,而不是使攻击者接触实际的系统。然后,攻击者将被引导攻击沙箱而不是实际的生产系统-巧妙而巧妙的方式“不折不扣地击蛇”。
 
人群罢工 具有一个具备这些功能及更多功能的综合平台,可有效检测恶意软件和无文件攻击,以防止网络攻击并在事件发生时快速做出响应。
 

分享我们的想法

0 Comment 登录 或者 登记 to post comments