纵观我们行业的历史,几乎每个IT专业人员都敏锐地意识到安全策略的必要性,该策略不仅可以抵御当前的威胁,还可以抵御未来的IT组织,确保他们做好准备攻击方法中的“下一件大事”到来了。多年来,安全供应商一直试图阻止恶意软件,从纯粹基于签名的检测到机器学习,再到利用云向许多端点提供恶意软件的最新更新。所有这些进步都改善了企业的安全状况,但网络犯罪集团也已经取得了自己的进展。业界已经发现越来越多的恶意软件变体使用至少一种逃避技术,该技术侧重于确保恶意软件本身逃避检测,使其能够感染机器,或处于休眠状态,等待下一次感染机会。2017年恶意软件年度回顾报告分析了漏洞利用工具包和有效负载组合,发现86%的漏洞利用工具包和85%的有效负载采用了规避技术。这些百分比不需要简单地认为您的端点或电子邮件防病毒解决方案会阻止它们;这些技术是根据您的防病毒解决方案的弱点专门设计的。这意味着坏人知道好人在做什么来发现恶意软件,并且正在想出新的方法来确保感染不被发现。逃避检测如果您不熟悉逃避恶意软件技术,它们可以归结为我们在2017年看到的三种高级方法:内存注入——有时称为“无文件”恶意软件,这种攻击技术将恶意代码直接注入内存,导致恶意逻辑耗尽其他合法应用程序以混淆恶意软件的存在。在研究报告中,我们看到这种技术有48%的使用率。恶意文档文件-能够通过PDF、Word文档等执行命令。攻击者利用这些文件类型,因为在许多情况下,企业允许打开它们并毫无问题地运行内部代码,从而获得对过去检测解决方案的访问权限。我们看到这种技术占用了28%的时间。环境测试——坏人知道好人如何执行基于行为的测试(例如,一个“沙箱”,其中可疑文件打开PDF附件以查看它是否试图做一些恶意的事情)。因此,恶意软件经常查询其环境以识别威胁(例如检测沙箱或安全工具的存在),并保持休眠状态以避免检测。用于增长的防病毒软件已有大约30年的历史,但仍然是端点保护策略的核心。而且,尽管多年来在检测方法、更新速度、人工智能的加入,甚至从世界任何地方的端点学习更新的云资源方面都有所改进,但防病毒仍然是一种以反应性检测为中心的保护手段。2017年,我们看到恶意软件规避技术的兴起成为恶意软件攻击的主流部分,这使得从任何地方进行检测变得困难甚至不可能。现在绝大多数恶意软件都采用规避技术,是时候意识到您的安全策略不再是主动的了。防病毒软件在保护端点方面发挥着重要作用。但是,使用旨在防止恶意软件绕过基线保护的解决方案来增强其安全性至关重要。它通过控制恶意软件如何感知其环境来实现这一点,以便在程序具有规避特性时将其禁用。例如,我们的技术在于恶意软件无法解压缩恶意代码,拒绝访问PowerShell以避免宏攻击,或在每个端点上模拟安全工具的存在以说服恶意软件终止自我保护。通过将这一层添加到您现有的端点安全策略中,您可以弥补传统防病毒解决方案留下的漏洞。
