現(xiàn)代惡意軟件比您可能認(rèn)為的更頑固。您可能擁有安全軟件和尖端的反惡意軟件解決方案來保護(hù)您免受可能的攻擊。不幸的是,現(xiàn)代惡意軟件有時(shí)仍會攻破您的防御系統(tǒng)。AV-TEST Institute 表示,他們每天注冊超過 450,000 個(gè)新的惡意軟件和可能不需要的應(yīng)用程序。那么,現(xiàn)代惡意軟件破壞防御的主要方式是什么?您可以采取什么措施?
5大惡意軟件及其防范方法
1.多態(tài)惡意軟件不斷變換和變形
大多數(shù)反惡意軟件工具只會檢測已知的惡意軟件簽名。但是,多態(tài)惡意軟件會不斷變異和變形以避免早期檢測。黑客可以通過對代碼進(jìn)行一些簡單的更改來輕松創(chuàng)建新的二進(jìn)制簽名。這種現(xiàn)代惡意軟件可以繞過大多數(shù)安全解決方案,包括電子郵件過濾、防病毒應(yīng)用程序、沙盒,甚至 IPS/IDS。而且,與零日惡意軟件之類的東西一樣,攻擊者可以在供應(yīng)商有足夠的時(shí)間處理漏洞之前輕松利用漏洞。
你能做些什么:
- 讓您的軟件保持最新
- 避免看起來可疑的鏈接或附件
- 使用強(qiáng)密碼并經(jīng)常更新
- 利用基于行為的檢測工具
2.無文件惡意軟件在運(yùn)行時(shí)內(nèi)存中執(zhí)行
無文件惡意軟件不會在您的計(jì)算機(jī)上留下足跡,只會在運(yùn)行時(shí)內(nèi)存中執(zhí)行。這是什么意思?從本質(zhì)上講,無文件惡意活動是檢測不到的,因?yàn)榇蠖鄶?shù)反惡意軟件工具只檢查靜態(tài)文件和操作系統(tǒng)進(jìn)程。防病毒、沙盒、UEBA 和 IPS/IDS 可能無法保護(hù)您免受無文件惡意軟件攻擊。
你能做些什么:
- 我為您的員工投資培訓(xùn)
- 指示他們對點(diǎn)擊的鏈接(無論是通過電子郵件還是在線)保持謹(jǐn)慎,并與 IT 團(tuán)隊(duì)就可能的威脅進(jìn)行溝通
- 您還可以利用Indusface WAS等托管威脅搜尋服務(wù)
3.域生成算法修改命令和控制地址詳細(xì)信息
反惡意軟件解決方案通常會阻止已知的命令和控制服務(wù)器。但是,域生成惡意軟件可以使用以前未知的地址修改服務(wù)器地址詳細(xì)信息,從而使攻擊更難檢測。DGA 惡意軟件簽名可以擊敗沙盒、EDR 甚至安全 Web 網(wǎng)關(guān)。
你能做些什么:
- 分析 DNS 日志并識別 DGA 攻擊留下的垃圾 DNS 條目中的模式
- 機(jī)器學(xué)習(xí)和人工智能解決方案通常可以更有效地處理此任務(wù),因?yàn)槿绻謩油瓿伤赡芗群臅r(shí)又困難
4.加密的有效載荷加密通信
內(nèi)容掃描是反惡意軟件工具用來保護(hù)您免受敏感數(shù)據(jù)泄露的常用方法。不幸的是,攻擊者有一個(gè)解決方法,它涉及受感染主機(jī)和命令與控制服務(wù)器之間的加密。DLP、EDR 和安全 Web 網(wǎng)關(guān)無法與加密的有效負(fù)載相提并論。
你能做些什么: 勤于掃描所有下載的文件
5.主機(jī)欺騙隱藏了數(shù)據(jù)的目的地
主機(jī)欺騙會欺騙標(biāo)頭信息。結(jié)果,數(shù)據(jù)的真正目的地被掩蓋了。因此,即使您的反惡意軟件解決方案可以抵御已知的命令和控制服務(wù)器,攻擊者也可以繞過它侵入您的系統(tǒng)。沙盒、安全 Web 網(wǎng)關(guān)和 IPS/IDS 都不是主機(jī)欺騙的對手。
你能做些什么:
- 監(jiān)控您的網(wǎng)絡(luò)是否有異常活動
- 部署數(shù)據(jù)包過濾以檢測不一致
- 使用驗(yàn)證
- 驗(yàn)證 IP 地址
- 使用網(wǎng)絡(luò)攻擊攔截器和防火墻
如何檢測惡意軟件并保護(hù)自己?
有處理不同現(xiàn)代惡意軟件攻擊的特定方法。但是,如果每個(gè)公司都想保護(hù)自己免受現(xiàn)代惡意軟件的侵害,那么他們也應(yīng)該采用一些通用做法。
您可以通過以下方式限制和最小化惡意軟件的影響:
- 利用多層防御。防范現(xiàn)代惡意軟件是一項(xiàng)持續(xù)的工作,很少是“一勞永逸”的。利用多層安全措施,包括防病毒軟件、網(wǎng)絡(luò)層保護(hù)、安全 Web 網(wǎng)關(guān)和其他工具以獲得最佳效果。不斷改進(jìn)您的安全流程。
- 實(shí)施流量分析。查找可維護(hù)整個(gè)網(wǎng)絡(luò)整體視圖的反惡意軟件工具。惡意軟件攻擊通常以整個(gè)網(wǎng)絡(luò)為目標(biāo)來竊取數(shù)據(jù),因此只關(guān)注一個(gè)網(wǎng)絡(luò)區(qū)域是不夠的,而且會使您容易受到黑客攻擊。
- 利用大數(shù)據(jù)。對于零日惡意軟件,您必須能夠從大量數(shù)據(jù)和信息中提取信息來識別模式并檢測惡意軟件。利用大數(shù)據(jù),您可以將看似無關(guān)的活動“聯(lián)系起來”。
結(jié)論
現(xiàn)代惡意軟件通常是有問題的。它利用了弱點(diǎn)和漏洞——你可能在最不適當(dāng)?shù)臅r(shí)候?qū)λ鼈円粺o所知。即使您設(shè)置了最好的防御措施,如果您不持續(xù)監(jiān)控和適應(yīng),您也可能會遇到麻煩。使用以上內(nèi)容作為保護(hù)網(wǎng)絡(luò)安全的起點(diǎn)。使用全面的多層安全方法并不斷更新您的員工培訓(xùn)。
網(wǎng)站資訊
解決方案
關(guān)于我們
