恶意软件是数据泄露的重要载体。研究表明,51%的数据泄露都使用恶意软件,无论是最初的妥协、网络扩展还是数据盗窃。然而,虽然恶意软件是一个关键的破坏媒介,但组织也不能免受在网络上随意运行的数据窃取恶意软件的影响。事实上,一些最大和最广为人知的数据泄露是由未检测到的恶意软件引起的。为什么?现代恶意软件的存在是为了逃避传统的恶意软件防御。当前的恶意软件是一种复杂的多向量折衷武器,它采用一系列逃避和伪装技术来逃避检测措施。在破坏者和防御者的博弈中,黑客不断寻找新的方法来领先现有防御措施一步。在这里,我们总结了现代恶意软件的5种常见规避技术以及它们如何击败传统的恶意软件防御。1.多态恶意软件许多传统的恶意软件防御措施都针对已知的恶意软件签名。现代数据窃取恶意软件可以通过不断伪装或变形来解决这个问题。通过简单地更改代码,骗子可以轻松地为文件生成一个全新的二进制签名。变形的零日恶意软件可以攻破基于签名的防御措施,例如防病毒、电子邮件过滤、IPS/IDS和沙盒。2.无文件恶意软件许多恶意软件防御工具通过关注静态文件和操作系统(OS)进程来检测恶意活动。然而,越来越多的破坏者正在使用仅在运行时内存中执行的无文件恶意软件技术,不会在目标主机上留下任何痕迹,因此对基于文件的防御是透明的。无文件恶意软件可击败IPS/IDS、用户和实体行为分析(UEBA)、防病毒和沙盒。3.加密有效载荷一些恶意软件防御采用内容扫描来阻止敏感数据泄露。骗子通过加密受感染主机和命令与控制(C&C)服务器之间的信息传输来规避此措施。加密的有效负载击败DLP、端点检测响应(EDR)和Web安全网关(SWG)。4.域生成算法(DGA)一些恶意软件防御包括已知的C&C服务器地址,可以阻止这些服务器之间的信息传输。但是,具有域生成功能的恶意软件可以通过定期修改C&C地址详细信息和使用未知地址来解决此问题。击败Web安全网关(SWG)、端点检测响应(EDR)和沙盒。5.HostFraud伪造头文件信息可以混淆数据的真实目的地,因此可以绕过针对已知C&C服务器地址的防御措施。击败Web安全网关(SWG)、IPS/IDS和沙盒。那么,企业该如何应对呢?事实上,要战胜零日规避型恶意软件并不容易,但企业可以采取以下重要措施来严格限制这些恶意软件的影响:采取多层防御措施:保护企业免受规避型恶意软件的侵害和完成的事情。相反,这是一项持续的工作,需要结合端点防御(例如防病毒软件)和网络层保护(例如防火墙和网络安全网关)。只有通过多层保护才能实现完整的安全覆盖。关注零日恶意软件:零日恶意软件占当今最常见恶意软件的50%。现有的恶意软件防御通常无法检测到零日恶意软件,这是数据丢失的主要原因。因此,组织迫切需要能够明确识别和检测零日恶意软件的恶意软件防御。执行流量分析:窃取数据的恶意软件损害以整个网络为目标,以窃取敏感数据。虽然感染可能源自用户端点,但不良行为者通常会将其扩展到网络资源。因此,恶意软件防御解决方案不应只关注网络中的某个区域或资源类型,还应考虑整个网络并分析正在发生的损害。利用大数据:检测零日恶意软件的一个关键因素是能够从长期积累的大量信息中收集数据。这允许防御者在全球范围内检测恶意软件活动,关联看似无关的活动,并跟踪恶意软件的开发和演变。
