看過《荒野求生》的人都了解，如果想在野外生存下來，一定要融入當?shù)丨h(huán)境。如變色龍一般，讓自己完美得藏匿于環(huán)境中，以成功獲取食物。對于安全攻擊者來說，也是如此。近年來出現(xiàn)的攻擊大多偏向隱匿型，它們能悄悄融入用戶的計算環(huán)境，長期潛伏。雖然用戶防護高級威脅的能力在逐年提高，但是這些攻擊者卻有著足夠的“創(chuàng)造力”，能迅速地創(chuàng)造出更新的攻擊技術。這種新的形態(tài)，破壞力更大。它，就是非惡意軟件攻擊。
 
非惡意軟件不是說攻擊時真的不需要使用任何文件。而是攻擊者使用被攻擊主機中信任的系統(tǒng)程序或授權的協(xié)議來進行的一種惡意攻擊。這種攻擊無需運行任何惡意文件，就能達到攻擊的目的。例如，攻擊者定向發(fā)送釣魚郵件，當你打開郵件時，會調(diào)用系統(tǒng)可信程序，如PowerShell，執(zhí)行寫好的攻擊代碼，達到攻擊目的。攻擊的代碼只駐留在內(nèi)存中，無落地文件，因此殺毒軟件不會有任何響應。杰思安全在實踐中，便遇過許多類似的案例。例如，某省氣象局，便遇到一個利用PowerShell進行挖礦的惡意事件，攻擊者只創(chuàng)建了一個計劃任務，調(diào)用PowerShell定期執(zhí)行挖礦命令，導致業(yè)務系統(tǒng)卡頓，而這一切攻擊者沒留下任何可疑文件。
 
由于非惡意軟件攻擊的強大破壞力和隱蔽性，被越來越多的黑客使用。在2018年全球網(wǎng)絡攻擊中，有超過40%的攻擊者便采用了這種方式。據(jù)Malwarebytes發(fā)布的報告稱，非惡意軟件攻擊正在迅速飆升，平均每3個感染中就有1個是非惡意軟件攻擊造成的。
 
面對如此神出鬼沒的攻擊，我們應采取哪些措施？當傳統(tǒng)防御手段失效時，還能利用什么方式來保護企業(yè)？如何盡快發(fā)現(xiàn)非惡意軟件攻擊的蹤跡？基于大量的成功實踐經(jīng)驗，杰思認為快速檢測及響應（EDR），是一個有效并可靠的辦法，能彌補傳統(tǒng)安全軟件的不足。用戶可以從評估、監(jiān)測、響應幾個方面入手。
 
威脅追蹤關聯(lián)分析
有些安全威脅能在用戶網(wǎng)絡中隱匿數(shù)月甚至數(shù)年。再隱匿的威脅，總會留下蛛絲馬跡，因而需要檢查和追蹤當前與歷史事件進行綜合安全關聯(lián)分析。從時間軸維度，對事件發(fā)生期間主機內(nèi)各項變化進行匯總關聯(lián)分析，還原事件全貌，找出隱匿威脅。用戶必須使用能夠識別歷史攻擊跡象的工具，如可疑的文件、網(wǎng)絡訪問、注冊表項、用戶登錄、異常命令等。
 
賬戶監(jiān)控與資產(chǎn)清點
賬戶監(jiān)視和管理可以通過提高工作環(huán)境的可見性,以檢測和防止未經(jīng)授權的訪問活動。防止由此導致的數(shù)據(jù)丟失，允許權限用戶控制數(shù)據(jù)訪問權,讓用戶實時了解訪問權限是否被不當授予。資產(chǎn)清點顯示網(wǎng)絡上正在運行的計算機，允許用戶有效部署安全體系結構，以確保沒有惡意系統(tǒng)在內(nèi)網(wǎng)環(huán)境運行。幫助安全和IT運營商區(qū)分環(huán)境中的托管資產(chǎn)、非托管資產(chǎn)和不可管理資產(chǎn)，并采取適當措施提高整體安全性。
 
異常命令監(jiān)控
聰明的攻擊者會利用PowerShell、svchost等系統(tǒng)自身進程，執(zhí)行命令行達到挖礦、操控主機等目的，此類攻擊沒有落地的惡意程序，采用傳統(tǒng)的文件檢測甚至行為檢測的方式無法捕獲任何攻擊信息�？刹捎糜涗泈indows系統(tǒng)中如cmd、PowerShell等進程執(zhí)行的命令操作，并根據(jù)異常命令規(guī)則庫判斷其是否為有威脅的異常命令，并進行阻斷實現(xiàn)防御。
 

標簽： 杰思 

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。