如果我们的网络受到威胁会怎样?这是安全人员一直在问的问题。但由于各种原因,从网络转型到更复杂的攻击方法,现在的问题变成了:我们如何知道我们的网络是否已被入侵?发生这种转变的原因之一是,随着网络犯罪分子越来越善于发现新的规避策略,他们很少在实现目标之前给我们留下任何错误证据。反分析攻击策略的兴起大多数安全专业人员都熟悉几种用于确保攻击成功的高级安全攻击策略。示例包括使用机器学习结合变形或多态利用来理解和调整网络防御,或利用已经部署在网络上的工具。幸运的是,许多安全专家都有检测和有效响应此类攻击的策略。因此,网络犯罪分子也在应用新技术来掩盖他们的攻击,绕过检测和分析,以便他们能够完成他们的攻击计划。常见的反分析技术包括使恶意软件能够检测它是在沙箱环境中还是在系统模拟器中的例程,在受感染的系统上禁用安全工具的功能,用垃圾数据诱捕反汇编程序等等。MITRE目前列出了60多种新旧反分析和规避技术,攻击者可以使用这些技术绕过防御、逃避检测并在不中断目标系统的情况下实现他们的目标。这似乎是一种快速发展的时尚。上个季度,有多份关于内置防御规避技术的新型恶意软件的报告,表明这种最新的攻击策略正在兴起。恶意软件的一个例子是针对金融机构的下载器,它不仅包括沙盒检测技术,而且还有一个巧妙的内置工具,可以确定它是否在模拟器中运行。下载器还会检查鼠标移动和调试器,以确保它只在真实的生产环境中运行。而且,这不是孤立的案例。2019年第二季度,至少有两个其他下载程序使用类似的高级规避机制被曝光,包括位置验证和用于延迟执行的睡眠定时器。另一个新兴趋势是使用“自适应”技术劫持标准网络工具来执行恶意活动。比如PowerShell可以直接从内存中执行,容易混淆,已经被系统信任,所以可以绕过白名单防御机制。还有许多利用PowerShell的免费恶意工具,例如PowerSploit、PowerShellEmpire和Nishang等。由于像PowerShell这样的工具是经过授权的,而且其中许多工具可能无意中拥有某种级别的管理员权限,因此使用这些工具的恶意行为通常被归类为已授权。这些工具以及类似的反分析和其他规避策略对企业构成了重大挑战,凸显了必须超越传统签名和基于行为的威胁检测的多层防御机制的重要性。发现想要隐藏的恶意软件。当然,使用签名和基于行为的安全工具进行威胁检测仍然是安全武器库的重要组成部分。但这些方法还需要高级行为分析等先进技术的加持,以识别和关联可能不会自行触发威胁警报的可疑行为。此外,当遇到旨在逃避检测的恶意软件时,这些策略的有效性会直线下降。雪上加霜的是,数字化转型不仅拓宽了网络边界,还让网络面临“最薄弱环节”的困境;快速扩大的网络攻击面加剧了反分析和规避技术带来的挑战。随着新的云、广域网、移动性和物联网战略都引入了它们自己独特的安全风险,并且通常具有不同的安全级别,问题就出现了。不过,有矛必有盾。如果恶意软件想要隐藏起来,自然有强大的工具可以帮助安全人员检测到它。其中包括:1.基于意图的网络分段一个建立在“信任”模型之上的扁平网络,让进入网络的网络犯罪分子成为可信环境的一部分,隐蔽地运作,然后在整个网络中迅速扩散威胁。随着它们深入网络,此类恶意活动变得极难检测和遏制,从而导致级联风险、宝贵数据丢失以及经济和品牌损失。网络分段确保如果发生入侵,其影响仅限于一组预先确定的资源。然而,静态分段,例如结合使用微分段、宏分段和应用程序分段来保护数据和数字资产,并不总能轻松适应网络的快速变化。随着越来越多的异常被创建以容纳需要遍历网络分区的工作流、应用程序和事务,网络分区的有效性逐渐降低。通过基于意图的分离,组织可以智能地分离网络和基础设施资产,无论它们位于何处,无论是在本地还是跨多个云。然后可以通过持续监控信任级别和自动调整安全策略来建立动态细粒度访问控制。它还可以使用高性能高级安全技术更有效地隔离关键IT资产,应用精细监控以使用分析和自动化快速检测和阻止威胁。2.欺骗技术欺骗技术通过在模拟正常资产的基础设施上创建诱饵网络资源来发挥作用。这些诱饵可以部署在虚拟或物理环境中,包括旨在诱使网络犯罪分子认为他们已经找到窃取凭据或提升特权的方法的流量活动。诱饵之所以能如此有效地检测规避性恶意软件,是因为来自合法设备的流量要么不会流入这些欺骗性诱饵,要么在流入时表现出可预测的行为。也就是说,一旦触发陷阱,隐藏的装置就会暴露出来,可以立即展开反制措施。记录受影响的诱饵更新的中央诱饵服务器会收到广播通知,恶意软件使用的相关攻击方法会被记录下来,基于意图的分段会自动干预以隔离受感染的设备——即使恶意软件本身不在设备上。将被实际测试。3.在集成安全沙箱解决方案中加入人工智能可以应对高级规避策略,例如能够检测拒绝在沙箱或模拟器中运行的恶意软件。然而,一旦发现反分析恶意软件,安全工具就必须能够协同工作,共享威胁情报,以便它们可以收到具有类似行为的其他事件的警报。例如。在网络分区之间的检查点应用的安全措施必须能够检测锁定并实时更新它们。其他工具需要协同工作才能将恶意软件追溯到其源头,并沿着也可能被破坏的数据路径追踪威胁的作案手法。因此,工具应该深度集成到跨越整个分布式网络的单一内聚安全架构中,包括核心物理网络、公共和私有多云环境、WAN位置以及移动和物联网设备。企业网络智取隐形攻击检测规避型恶意软件的诀窍是限制其活动、暴露它,然后在网络中共享该信息以改进检测和响应。基于意图的分段、诱饵技术和集成安全架构在规避技术的对抗检测和分析中发挥着关键作用,并且是暴露隐蔽恶意软件的基本工具。
