现代恶意软件比您可能认为的更顽固。您可能拥有安全软件和尖端的反恶意软件解决方案来保护您免受可能的攻击。不幸的是,现代恶意软件有时仍会攻破您的防御系统。AV-TEST Institute 表示,他们每天注册超过 450,000 个新的恶意软件和可能不需要的应用程序。那么,现代恶意软件破坏防御的主要方式是什么?您可以采取什么措施?
5大恶意软件及其防范方法
1.多态恶意软件不断变换和变形
大多数反恶意软件工具只会检测已知的恶意软件签名。但是,多态恶意软件会不断变异和变形以避免早期检测。黑客可以通过对代码进行一些简单的更改来轻松创建新的二进制签名。这种现代恶意软件可以绕过大多数安全解决方案,包括电子邮件过滤、防病毒应用程序、沙盒,甚至 IPS/IDS。而且,与零日恶意软件之类的东西一样,攻击者可以在供应商有足够的时间处理漏洞之前轻松利用漏洞。
你能做些什么:
- 让您的软件保持最新
- 避免看起来可疑的链接或附件
- 使用强密码并经常更新
- 利用基于行为的检测工具
2.无文件恶意软件在运行时内存中执行
无文件恶意软件不会在您的计算机上留下足迹,只会在运行时内存中执行。这是什么意思?从本质上讲,无文件恶意活动是检测不到的,因为大多数反恶意软件工具只检查静态文件和操作系统进程。防病毒、沙盒、UEBA 和 IPS/IDS 可能无法保护您免受无文件恶意软件攻击。
你能做些什么:
- 我为您的员工投资培训
- 指示他们对点击的链接(无论是通过电子邮件还是在线)保持谨慎,并与 IT 团队就可能的威胁进行沟通
- 您还可以利用Indusface WAS等托管威胁搜寻服务
3.域生成算法修改命令和控制地址详细信息
反恶意软件解决方案通常会阻止已知的命令和控制服务器。但是,域生成恶意软件可以使用以前未知的地址修改服务器地址详细信息,从而使攻击更难检测。DGA 恶意软件签名可以击败沙盒、EDR 甚至安全 Web 网关。
你能做些什么:
- 分析 DNS 日志并识别 DGA 攻击留下的垃圾 DNS 条目中的模式
- 机器学习和人工智能解决方案通常可以更有效地处理此任务,因为如果手动完成它可能既耗时又困难
4.加密的有效载荷加密通信
内容扫描是反恶意软件工具用来保护您免受敏感数据泄露的常用方法。不幸的是,攻击者有一个解决方法,它涉及受感染主机和命令与控制服务器之间的加密。DLP、EDR 和安全 Web 网关无法与加密的有效负载相提并论。
你能做些什么: 勤于扫描所有下载的文件
5.主机欺骗隐藏了数据的目的地
主机欺骗会欺骗标头信息。结果,数据的真正目的地被掩盖了。因此,即使您的反恶意软件解决方案可以抵御已知的命令和控制服务器,攻击者也可以绕过它侵入您的系统。沙盒、安全 Web 网关和 IPS/IDS 都不是主机欺骗的对手。
你能做些什么:
- 监控您的网络是否有异常活动
- 部署数据包过滤以检测不一致
- 使用验证
- 验证 IP 地址
- 使用网络攻击拦截器和防火墙
如何检测恶意软件并保护自己?
有处理不同现代恶意软件攻击的特定方法。但是,如果每个公司都想保护自己免受现代恶意软件的侵害,那么他们也应该采用一些通用做法。
您可以通过以下方式限制和最小化恶意软件的影响:
- 利用多层防御。防范现代恶意软件是一项持续的工作,很少是“一劳永逸”的。利用多层安全措施,包括防病毒软件、网络层保护、安全 Web 网关和其他工具以获得最佳效果。不断改进您的安全流程。
- 实施流量分析。查找可维护整个网络整体视图的反恶意软件工具。恶意软件攻击通常以整个网络为目标来窃取数据,因此只关注一个网络区域是不够的,而且会使您容易受到黑客攻击。
- 利用大数据。对于零日恶意软件,您必须能够从大量数据和信息中提取信息来识别模式并检测恶意软件。利用大数据,您可以将看似无关的活动“联系起来”。
结论
现代恶意软件通常是有问题的。它利用了弱点和漏洞——你可能在最不适当的时候对它们一无所知。即使您设置了最好的防御措施,如果您不持续监控和适应,您也可能会遇到麻烦。使用以上内容作为保护网络安全的起点。使用全面的多层安全方法并不断更新您的员工培训。