现代无文件攻击的关键特征
数据泄露调查报告(DBIR)中的一项调查结果显示,只有51%的网络攻击涉及恶意软件。剩余的49%代表了组织的一个主要漏洞问题:无法进行无文件攻击的攻击事件越来越多,可以绕过标准安全工具。
尽管组织正在以创纪录的速度投资安全解决方案,但IDC计划到2020年全球网络安全支出将增加到1010亿美元。爆发和违规行为继续困扰着每个市场领域的公司。这强调了专门设计和制造的威胁的影响,主要是通过采用无文件攻击来逃避大多数安全解决方案。
现代无恶意软件攻击的三个主要特征如下:
首先,它以无文件感染开始,这是一种不向磁盘写入任何内容的攻击。这使它可以绕过大多数传统的防病毒(AV)解决方案,因为它们依赖于扫描恶意文件没有文件,没有检测。相反,攻击者可以使用利用可信系统,应用程序或进程的攻击来获得目标计算机的立足点。过去难以创建有效且可靠的漏洞,但漏洞利用工具包的出现使得几乎任何人都可以轻松地在攻击中使用漏洞利用并免除更容易检测到的基于恶意软件的策略。
接下来,一旦攻击者控制了系统,他们就可以使用作为操作系统管理功能一部分的内置工具(如PowerShell或Windows Management Instrumentation(WMI))来逃避检测。这是传统防病毒,白名单甚至沙盒解决方案的盲点,因为这些内置工具是受信任的,并且允许在大多数环境中运行。攻击者不是试图下载并执行可以由传统防病毒解决方案随时检测到的恶意文件,而是在目标系统本身上可以轻松获得完成任务所需的一切。
最后,攻击者可以通过创建隐藏的“后门” 来建立环境中的持久性,大多数安全工具都无法检测到它们。这些后门技术的范围可以从添加相关的注册表项(例如“Sticky Key”,这是一种支持屏幕键盘快捷键的Windows功能)到简单地为攻击者创建新的用户帐户。这是一个明显且受欢迎的选择,因为它允许攻击者轻松绕过AV,防火墙,白名单甚至沙盒解决方案,使他们可以随意访问受感染的系统,同时保持完全未被发现。
需要一种新方法
这些隐秘的无恶意软件攻击的崛起使传统安全解决方案失效,这表明需要一种全新的方法。可以将单一轻量级代理中的传统攻击和现代攻击所需的所有安全功能结合起来,这些代理由人工智能而不是签名提供,恶意软件防护,无需每日签名更新。该代理还使用下一代保护机制,如机器学习,行为分析和持续监控,以保护组织免受当今最复杂的无恶意软件攻击。
利用这些创新的功能防御无文件攻击:
1、应用程序清单可帮助您了解您的环境中是否存在易受攻击的应用程序,允许您对其进行修补或更新,以便它们不会成为漏洞攻击的目标。
2、漏洞利用阻止通过利用未修补漏洞的攻击来阻止无文件攻击的执行。
3、攻击指标(IOA)行为分析在攻击的早期阶段识别并阻止未知的勒索软件,然后才能完全执行并造成损害。此功能还可以防止不使用文件加密受害系统的新类别勒索软件。
4、管理狩猎主动搜索您的环境,以便进行因无文件技术而产生的恶意活动。