恶意软件是数据泄露的重要载体。研究表明,无论是最初的危害、恶意软件用于扩展或窃取 *** 中的数据,51%的数据泄露。然而,尽管恶意软件是关键的危害矢量,但企业无法抗拒在 *** 中肆意运行的数据窃取恶意软件。事实上,一些大型和最著名的数据泄露是由未检测到的恶意软件引起的。
为什么?现代恶意软件的出现是为了避免传统的恶意软件防御措施。当前的恶意软件是复杂的多矢量危害武器采用了一系列避免危害和伪装技术来避免检测措施。破坏在人与防御者的游戏中,黑客将继续寻找一种始终领先现有防御系统的新 *** 。在这里,我们总结了现代恶意软件的五种常见规避技术,以及它们如何克服传统恶意软件的防御措施。
1. 多态恶意软件
许多传统的恶意软件防御措施可以防御已知的恶意软件特征代码。现代数据窃取恶意软件可以通过不断的伪装或变形来解决。只要简单地更改代码,破坏者就可以很容易地为文件生成一个新的二进制特征代码。变形的零日恶意软件击败了杀毒软件、电子邮件过滤器IPS/IDS和沙盒等基于特征码的防御措施。
2. 恶意软件无文件
许多恶意软件防御工具关注静态文件和操作系统(OS)检测恶意活动的过程。然而,越来越多的破坏者使用无文件恶意软件技术,只在运行过程中的内存中执行,不会在目标主机上留下任何痕迹,因此基于文件的防御措施是透明的。无文件恶意软件已经被击败IPS/IDS、分析用户和实体行为(UEBA)、杀毒软件和沙盒。
3. 加密有效负载
一些恶意软件防御措施使用内容扫描来拦截敏感数据泄露。受害者将通过加密被感染的主机和命令来控制(C&C)服务器之间的信息传服务器之间的信息传输。加密有效负载克服了DLP、终端检测响应(EDR)和Web安全网关(SWG)。
4. 域生成算法(DGA)
一些恶意软件防御措施包括已知的C&C服务器的地址可以阻止这些服务器之间的信息传输。然而,通过定期修改具有域生成功能的恶意软件C&C使用未知地址解决地址细节的问题。Web安全网关(SWG)、终端检测响应(EDR)和沙盒。
5. 主机欺诈
伪造头文件信息可以混淆数据的真实目的地,因此可以绕过已知C&C服务器地址的防御措施。Web安全网关(SWG)、IPS/IDS和沙盒。
那么,企业应该如何应对呢?事实上,克服零日规避恶意软件并不容易,但企业可以采取以下重要措施严格限制这些恶意软件的影响:
- 采取多层防御措施:保护企业防御规避恶意软件不是一劳永逸的事情。相反,这是一项持续的工作,需要防御端点(如杀毒软件)和防火墙Web结合 *** 层防护措施,如安全网关。只有多层防护措施才能实现完全的安全覆盖。
- 关注零日恶意软件:在目前常见的恶意软件中,零日恶意软件占50%。现有的恶意软件防御措施通常无法检测到零日恶意软件,这是数据丢失的主要原因。因此,企业迫切需要能够清楚地识别和检测到零日恶意软件的恶意软件防御机制。
- 流量分析:数据窃取恶意软件损坏以整个 *** 为目标,窃取敏感数据。虽然感染可能来自用户端点,但破坏者通常会将其扩展到 *** 资源中。因此,恶意软件防御解决方案不仅要关注 *** 中的某个区域或资源类型,还要充分考虑整个 *** ,并分析正在发生的事情破坏事件。
- 使用大数据:检测零日恶意软件的一个关键因素是从长期积累的大量信息中收集数据。这使得防御者能够检测到世界各地的恶意软件活动,并将看似无关的活动联系起来,以跟踪恶意软件的发展和演变。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。