上季度威胁趋势分析表明,攻击者增加了对无文件恶意软件的使用,在所有检测到的恶意软件中,近三分之二是零日恶意软件。尚未实施控制措施来检测隐藏在加密网络流量中的恶意软件的组织面临的风险是,他们的端点设备可能会受到环境中广泛分布的大量恶意工具的危害。WatchGuardTechnologies通过分析从客户网络收集的匿名数据来研究威胁活动。结果显示,2021年第二季度检测到的恶意软件中有91.5%涉及通过加密的HTTPS连接进行传送。根据WatchGuard的数据,目前只有20%的企业拥有解密和扫描HTTPS流量以发现恶意软件的检测机制,这意味着其余80%的企业可能会错过每天攻击其网络的90%的恶意软件。WatchGuard首席安全官CoreyNachreiner表示,大多数组织不启用基于网络的HTTPS解密控制的一个原因是他们认为设置很复杂,并且解密和扫描HTTPS流量在某种程度上很复杂。“如果你想在不破坏保护你的流量的HTTPS证书的神圣性的情况下利用中间人解密,你必须设置中间或根CA证书作为官方证书验证过程的一部分。”有很多方法可以做到这一点,有些比较棘手,有些则不那么复杂。Nachreiner说:“总之,第一次做确实需要一些努力,并且要创造规则的例外情况,这样机制才能很好地发挥作用,这也是为什么一些公司不愿意花这个时间和精力的原因。但我们坚信这是值得做的,否则你的网络安全会漏掉很多风险。”本周发布的一份WatchGuard报告强调了企业恶意软件的令人不安的趋势,加密恶意软件是一个数据点。例如,WatchGuard的分析表明,仅在今年的前六个月,基于脚本的攻击(无文件攻击)的数量)已达到2020年全年总数的80%。上一季度的数据表明,与2020年相比,今年无文件恶意软件的数量可能会翻一番。与加密恶意软件一样,无文件攻击(例如涉及使用JavaScript的攻击)、PowerShell和VisualBasic)是另一种威胁,某些防病毒(AV)工具不容易检测到。Nachreiner指出:“虽然情况并非总是如此,但其中许多脚本可以设计为利用本地合法工具,这意味着端点上不会丢失任何恶意文件。”“攻击者继续使用脚本和窃取的受害者权限或通过特权升级攻击来推进他们的恶意活动。”因此,以文件为中心的恶意软件检测工具可能会错过这些攻击零日恶意软件和其他趋势零日恶意软件检测比上一季度下降了9%,但仍占第二季度所有恶意软件样本的64%。更多证据表明基于签名的防病毒工具不足以应对当前的威胁形势。Nachreiner说:“攻击者可以自动重新打包恶意软件,这意味着投放到每个受害者系统上的相同恶意软件可能会以不同的形式出现。”企业越来越需要检测例如机器学习模型或行为分析技术,以主动检测看似新的恶意软件,而无需等待防病毒供应商发布恶意软件签名。在宏观层面上,企业外围的恶意软件检测下降了近4%,但数量网络攻击次数创三年新高,远超上一季度网络攻击总数达到5.2万次上一季度,比第一季度增长22.3%。这些数字凸显了其他供应商注意到的一个趋势:在COVID-19大流行迫使人们转向更加分布式的工作环境后,攻击者的关注点发生了变化。Nachreiner说:“我们认为这是因为大流行病造成的,当时很多知识工作者都在家工作。”由于恶意软件倾向于将目标对准用户接收电子邮件或浏览网页的任何地方,因此攻击者将目标转移到了远程工作人员身上。“现在员工都在家工作,恶意软件已经超出了公司网络的范围。这就是为什么我们在外围看不到那么多恶意软件的原因。”Nachreiner警告说,这并不一定意味着整体恶意软件数量已经下降。该数据仅表明检测到大多数恶意软件的是端点安全产品,而不是外围网络控制。与此同时,网络攻击者继续攻击仍然部署在办公室或云端的服务器和服务。一些安全研究人员注意到,随着越来越多的员工(包括信息安全人员)在家工作,这些服务器和服务大多受到的保护较少。
