中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當前的位置是:  首頁 > 資訊 > 國內(nèi) >
 首頁 > 資訊 > 國內(nèi) >

對非惡意軟件攻擊說不

2019-10-28 16:13:44   作者:   來源:CTI論壇   評論:0  點擊:


  看過《荒野求生》的人都了解,如果想在野外生存下來,一定要融入當?shù)丨h(huán)境。如變色龍一般,讓自己完美得藏匿于環(huán)境中,以成功獲取食物。對于安全攻擊者來說,也是如此。近年來出現(xiàn)的攻擊大多偏向隱匿型,它們能悄悄融入用戶的計算環(huán)境,長期潛伏。雖然用戶防護高級威脅的能力在逐年提高,但是這些攻擊者卻有著足夠的“創(chuàng)造力”,能迅速地創(chuàng)造出更新的攻擊技術(shù)。這種新的形態(tài),破壞力更大。它,就是非惡意軟件攻擊。
  非惡意軟件不是說攻擊時真的不需要使用任何文件。而是攻擊者使用被攻擊主機中信任的系統(tǒng)程序或授權(quán)的協(xié)議來進行的一種惡意攻擊。這種攻擊無需運行任何惡意文件,就能達到攻擊的目的。例如,攻擊者定向發(fā)送釣魚郵件,當你打開郵件時,會調(diào)用系統(tǒng)可信程序,如PowerShell,執(zhí)行寫好的攻擊代碼,達到攻擊目的。攻擊的代碼只駐留在內(nèi)存中,無落地文件,因此殺毒軟件不會有任何響應(yīng)。杰思安全在實踐中,便遇過許多類似的案例。例如,某省氣象局,便遇到一個利用PowerShell進行挖礦的惡意事件,攻擊者只創(chuàng)建了一個計劃任務(wù),調(diào)用PowerShell定期執(zhí)行挖礦命令,導致業(yè)務(wù)系統(tǒng)卡頓,而這一切攻擊者沒留下任何可疑文件。
  由于非惡意軟件攻擊的強大破壞力和隱蔽性,被越來越多的黑客使用。在2018年全球網(wǎng)絡(luò)攻擊中,有超過40%的攻擊者便采用了這種方式。據(jù)Malwarebytes發(fā)布的報告稱,非惡意軟件攻擊正在迅速飆升,平均每3個感染中就有1個是非惡意軟件攻擊造成的。
  面對如此神出鬼沒的攻擊,我們應(yīng)采取哪些措施?當傳統(tǒng)防御手段失效時,還能利用什么方式來保護企業(yè)?如何盡快發(fā)現(xiàn)非惡意軟件攻擊的蹤跡?基于大量的成功實踐經(jīng)驗,杰思認為快速檢測及響應(yīng)(EDR),是一個有效并可靠的辦法,能彌補傳統(tǒng)安全軟件的不足。用戶可以從評估、監(jiān)測、響應(yīng)幾個方面入手。
  威脅追蹤關(guān)聯(lián)分析
  有些安全威脅能在用戶網(wǎng)絡(luò)中隱匿數(shù)月甚至數(shù)年。再隱匿的威脅,總會留下蛛絲馬跡,因而需要檢查和追蹤當前與歷史事件進行綜合安全關(guān)聯(lián)分析。從時間軸維度,對事件發(fā)生期間主機內(nèi)各項變化進行匯總關(guān)聯(lián)分析,還原事件全貌,找出隱匿威脅。用戶必須使用能夠識別歷史攻擊跡象的工具,如可疑的文件、網(wǎng)絡(luò)訪問、注冊表項、用戶登錄、異常命令等。
  賬戶監(jiān)控與資產(chǎn)清點
  賬戶監(jiān)視和管理可以通過提高工作環(huán)境的可見性,以檢測和防止未經(jīng)授權(quán)的訪問活動。防止由此導致的數(shù)據(jù)丟失,允許權(quán)限用戶控制數(shù)據(jù)訪問權(quán),讓用戶實時了解訪問權(quán)限是否被不當授予。資產(chǎn)清點顯示網(wǎng)絡(luò)上正在運行的計算機,允許用戶有效部署安全體系結(jié)構(gòu),以確保沒有惡意系統(tǒng)在內(nèi)網(wǎng)環(huán)境運行。幫助安全和IT運營商區(qū)分環(huán)境中的托管資產(chǎn)、非托管資產(chǎn)和不可管理資產(chǎn),并采取適當措施提高整體安全性。
  異常命令監(jiān)控
  聰明的攻擊者會利用PowerShell、svchost等系統(tǒng)自身進程,執(zhí)行命令行達到挖礦、操控主機等目的,此類攻擊沒有落地的惡意程序,采用傳統(tǒng)的文件檢測甚至行為檢測的方式無法捕獲任何攻擊信息?刹捎糜涗泈indows系統(tǒng)中如cmd、PowerShell等進程執(zhí)行的命令操作,并根據(jù)異常命令規(guī)則庫判斷其是否為有威脅的異常命令,并進行阻斷實現(xiàn)防御。
【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

相關(guān)閱讀:

專題

CTI論壇會員企業(yè)