Radware云端恶意软件防护服务.PDFVIP

现代恶意软件击垮企业防护措施的 5 大方式 …企业应对措施 恶意软件是导致数据泄露的关键因素。研究显示，51%的数据泄露都包含恶意软件的使用，无 1 论是首次入侵、网络扩展或窃取数据 。然而，尽管恶意软件成为了关键的攻击矢量，企业仍 无法防御数据窃取恶意软件在网络中的肆虐。事实上，一些规模最大也最广为人知的数据泄露 事件都是由未被检测到的恶意软件引发的。 原因在于现代恶意软件就是为了躲避传统的恶意软件防护措施而生的。现在的恶意软件就是利用一系列规避 工具和伪装技术来躲避检测的复杂多矢量攻击武器。在攻击者和防御者的博弈中，黑客会不断寻找新方法， 以领先现有防御措施一步。 以下是现代恶意软件使用的 5 种常见规避技术 ，以及这些技术如何击垮传统的恶意软件防护措施： 1. 多态恶意软件 ：许多传统的恶意软件防护措施使用的是已知的恶意软件特征码。通过不断的变形，现代 数据窃取恶意软件可以解决这一问题。通过对代码进行简单的修改，攻击者可以轻松为文件生成全新的 二进制特征码。 经过变形的零日恶意软件战胜了杀毒软件、邮件过滤、IPS/IDS、沙盒等基于特征码的防护 措施。 1 2017 Verizon 数据泄露研究报告(DBIR) - /verizon-insights-lab/dbir/2017/ 现代恶意软件击垮企业防护措施的 5 大方式及企业应对措施 2. 无文件恶意软件 ：许多防恶意软件工具都注重在静态文件和操作系统(OS)进程中检测恶意活动。然而， 攻击者越来越常用的技术是无文件恶意软件，只在执行时才会驻留在内存中 ，不会在目标主机上留下任 何痕迹，因此对基于文件的防御措施而言是透明的。 无文件恶意软件战胜了IPS/IDS、UEBA、杀毒软件和沙盒。 3. 加密有效负载 ：一些恶意软件防护措施采用了内容扫描来阻止敏感数据泄露。攻击者可以通过以加密方 式与被感染主机和命令控制(CC)服务器进行通信 ，来解决这一问题。 加密有效负载战胜了 DLP、EDR 和 Web 安全网关(SWG)。 4. 域名生成算法(DGA) ：一些恶意软件防护措施包括已知的CC 服务器的地址，可以拦截与这些服务之 间的通信。然而，具有域名生成功能的恶意软件 ，可以通过定期修改 CC 地址细节和使用先前未知的 地址来解决这一问题。 战胜了Web 安全网关(SWG)、EDR 和沙盒。 5. 主机欺诈 ：伪造标头信息来混淆数据的真正目的地，因此可以绕过以已知 CC 服务器地址为目标的防 御措施。 战胜了Web 安全网关(SWG)、IPS/IDS 和沙盒。 企业能做什么？ 战胜零日规避恶意软件并不容易，但企业仍然可以采取几个关键步骤来尽量限制该恶意软件的影响： 1. 应用多层防御措施 ：保护企业免遭规避恶意软件的侵扰并不是一蹴而就的事情。相反，这需要持续不断 地付出努力，并将端点防御(如杀毒软件)和防火墙、Web 安全网关等网络层防护措施结合起来。只有多 层防护措施才可以确保全面的安全覆盖。 2. 关注零日恶意软件 ：在目前正在传播的恶意软件中，零日恶意软件所占的比例高达 50%。零日恶意软 件往往不会被现有的恶意软件防御措施识别出来，这是造成数据丢失的主要原因。可以识别并检测零日 恶意软件的防护机制必不可少。 3. 执行流量分析 ：数据窃取恶意软件攻击针对的是整个网络，进而窃取敏感数据。尽管感染可能来自用户 端点，但攻击者的目标通常也会扩展到网络资源。因此，对恶意软件防护解决方案而言 ，最重要的不仅 仅是集中在网络或资源类型的某个领域，而是维持对整个网络的整体视图 ，并分析正在发生的攻击。 4. 利用大数据 ：检测零日恶意软件的一个关键因素是能够从长期积累的海量信息中采集数据。这使得防御 者可以在全球范围内检测恶意软件活动，并将看似无关的活动关联起来，以便追踪恶意软件的发展演化。 现代恶意软件击垮企业防护措施的 5 大方式及企业应对措施 Radware 云端恶意软件防护服务 Radware 云端恶意软件防护服务是防御数据窃取零日恶意软件的最后防线。Ra