现代恶意软件比你想象的更顽固。您可能拥有安全软件和尖端的反恶意软件解决方案来保护您免受可能的攻击。不幸的是,现代恶意软件有时仍然可以击败您的防御。AV-TEST Institute 表示,他们每天注册超过 450,000 件新的恶意软件和可能不需要的应用程序。那么,现代恶意软件击败您的防御的主要方式是什么,您能做些什么呢?
前 5 大恶意软件以及如何防范它们
1. 多态恶意软件不断变换和变形
大多数反恶意软件工具只会检测已知的恶意软件签名。然而,多态恶意软件不断变异和变形以避免早期检测。黑客只需对代码进行一些简单的更改即可轻松创建新的二进制签名。
这种现代恶意软件可以绕过大多数安全解决方案,包括电子邮件过滤、防病毒应用程序、沙盒,甚至 IPS/IDS。而且,就像零日恶意软件一样,攻击者可以在供应商有足够时间处理漏洞之前轻松利用漏洞。
你可以做些什么:
- 使您的软件保持最新
- 避免看起来可疑的链接或附件
- 使用强密码并经常更新
- 利用基于行为的检测工具
2. 无文件恶意软件在运行时内存中执行
无文件恶意软件不会在您的计算机上留下任何足迹,并且仅在运行时内存中执行。这是什么意思?本质上,无文件恶意活动是无法检测到的,因为大多数反恶意软件工具只检查静态文件和操作系统进程。防病毒、沙盒、UEBA 和 IPS/IDS 可能无法保护您免受无文件恶意软件攻击。
你可以做些什么:
- 我投资于培训您的员工
- 指导他们注意他们点击的链接(无论是电子邮件还是在线),并与 IT 团队就可能的威胁进行沟通
- 您还可以利用Indusface WAS等托管威胁搜寻服务
3. 域生成算法修改命令和控制地址详细信息
反恶意软件解决方案通常会阻止已知的命令和控制服务器。但是,域生成恶意软件可以使用以前未知的地址修改服务器地址详细信息,从而使攻击更难检测。DGA 恶意软件签名可以击败沙盒、EDR 甚至安全 Web 网关。
你可以做些什么:
- 分析 DNS 日志并识别 DGA 攻击留下的垃圾 DNS 条目中的模式
- 机器学习和人工智能解决方案通常更有效地处理此任务,因为如果手动完成它可能既耗时又困难
4. 加密有效载荷加密通信
内容扫描是反恶意软件工具用来保护您免受敏感数据泄露的常用方法。不幸的是,攻击者有一种解决方法,其中涉及受感染主机和命令与控制服务器之间的加密。DLP、EDR 和安全 Web 网关不适合加密的有效负载。
你可以做些什么:
- 认真扫描所有下载的文件
5. 主机欺骗隐藏数据的目的地
主机欺骗会欺骗头信息。结果,数据的真正目的地被掩盖了。因此,即使您的反恶意软件解决方案能够抵御已知的命令和控制服务器,攻击者也可以绕过它侵入您的系统。沙盒、安全 Web 网关和 IPS/IDS 无法与主机欺骗相匹敌。
你可以做些什么:
- 监控您的网络是否有异常活动
- 部署数据包过滤以检测不一致
- 使用验证
- 验证 IP 地址
- 使用网络攻击拦截器和防火墙
如何检测恶意软件并保护自己?
有处理不同现代恶意软件攻击的特定方法。但是,如果每个公司想要保护自己免受现代恶意软件的侵害,也应该采用一些通用做法。
您可以通过以下方式限制和最小化恶意软件的影响:
- 利用多层防御。防范现代恶意软件是一项持续的工作,而且很少是“一劳永逸”的。利用多层安全性,包括防病毒软件、网络层保护、安全 Web 网关和其他工具以获得最佳效果。不断改进您的安全流程。
- 实施流量分析。查找可维护整个网络整体视图的反恶意软件工具。恶意软件攻击通常针对整个网络进行数据盗窃,因此只关注一个网络区域是不够的,并且会使您容易受到黑客攻击。
- 利用大数据。对于零日恶意软件,您必须能够从大量数据和信息中提取信息来识别模式并检测恶意软件。利用大数据,您可以在看似不相关的活动之间“连接点”。
结论
现代恶意软件通常是有问题的。它利用了弱点和漏洞——至少在适当的时候,你可能对它们一无所知。即使您设置了最好的防御措施,如果您不持续监控和适应,您也可能会遇到麻烦。使用上述内容作为保护网络安全的起点。使用全面的多层方法来确保安全并不断更新您的员工培训。