为啥传统的端点检测和响应(防DDoSEDR)平台不能检测到无文件恶意软件-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > 为啥传统的端点检测和响应(防DDoSEDR)平台不能检测到无文件恶意软件

为啥传统的端点检测和响应(防DDoSEDR)平台不能检测到无文件恶意软件

小墨安全管家 2020-11-21 15:16 行业资讯 89 ℃
DDoS防御
无文件恶意软件是一种极难检测的网络威胁类型,给现代企业带来了严峻的咨询题,甚至比勒索软件更严峻。无文件恶意软件不需要物理负载,也不大概在目标计算机上造成可识别或永远的占用空间。相反,防DDoS,无文件威胁能够利用诸如PowerShell如此的合法系统工具来破坏和过滤主机上的敏感数据。这么,您怎么爱护您的IT基础设施免受无文件恶意软件的攻击?虽然勒索软件特别突出,但它仍然以it安全团队和事件响应者熟悉的方式工作。勒索软件攻击会在受损机器上留下数字脚迹,因为勒索软件为了过滤数据并感染主机,需要将有效载荷下载到设备上。具有讽刺意味的是,这种熟悉感会让你感到某种程度的安慰,因为你能够快速识别网络中的勒索软件。另一方面,无文件恶意软件却没有如此的舒适性。无文件攻击是一种相对较新的网络攻击类型,使用传统的端点检测和响应平台几乎不会减轻无文件攻击,DDoS防御,这使得无文件攻击成为现代网络上最重要的威胁之一。好消息是,无文件恶意软件并不是不会谨防的。像任何网络攻击一样,DDoS防御,无文件的威胁能够被击败。它只需要先进的检测技术和与其他类型的恶意威胁不同的响应。要了解怎么应对无文件攻击,首先要了解无文件恶意软件的功能…啥是无文件恶意软件?无文件恶意软件和传统恶意软件之间最显著的区别是它怎么感染您的计算机以及它驻留在哪里。传统的恶意软件和病毒会在计算机的存储介质中创建或感染文件。它们以恶意文件的形式留下数字脚迹。大多数防病毒软件解决方案能够检测对文件的恶意更改和/或检测创建的恶意文件。无文件恶意软件彻底存在于计算机内存中。它彻底是昙花一现的,在不改变文件系统的事情下悄悄地执行恶意代码或过滤数据。依照Norton Security的讲法,无文件恶意软件有几个核心变体,它们是依照它们所做的来组织的:注册表操作:这种无文件恶意软件将代码注入Windows注册表。最值得注意的一种注册表控制文件较少的威胁类型是kofter恶意软件,它驻留在注册表中,经常用于恶意广告活动。经历代码注入:通常利用已知的软件和应用程序漏洞,内存代码注入恶意软件经常搭载在受信任的软件上,如Microsoft PowerShell和Windows Management Instrumentation。PurpleFox经过PowerShell利用内存代码注入,并经常用于下载加密货币挖掘恶意软件给感染者系统足本-基于足本的攻击:从技术上说,基于足本的网络攻击不过半无文件的。例如,SamSam勒索软件广泛使用操作系统(OS)功能和网络治理工具来危害受感染的系统。SamSam留下了一具脚迹,然而当发觉数字脚迹时,文件基本被锁定。为啥无文件恶意软件难以检测传统的杀毒软件工具和端点检测与响应(EDR)安全平台在检测无文件威胁方面存在艰难。有几个因素使文件较少的威胁尤其难以检测和减轻:首先,由于它没有可识别的代码或签名,于是传统的防病毒软件无法检测到无文件恶意软件工具.文件-系统内存(RAM)中存在的威胁较少,这意味着通常不大概存在追踪。最终, 由于无文件恶意软件不遵循一套行为模式,同时经常利用可信进程来掩盖恶意行为,依靠行为分析的EDR平台无法搜索和暴露无文件威胁,所以无法检测到。由于无文件攻击特别容易不被发觉(与传统的恶意软件攻击相比),过去一年,这种攻击的发生率大幅上升。依照Trend Micro的2019年综述报告,2019年上半年对无文件威胁的检测比2018年增加了265%。犯罪分子了解企业最常用的工具来爱护自个儿(及其数据)免受网络攻击。作为回应,网络犯罪分子正转向攻击想法,使他们可以绕过这些工具(例如无文件攻击)。怎么处理无文件恶意软件一切并非尽失。虽然无文件攻击更复杂、更难处理,但它们能够被检测到并被击败。如此做需要与传统杀毒软件和EDR安全解决方案稍有不同的反应。首先,CC防御,也是最重要的是保持所有系统的最新状态。很多无文件威胁依靠于未修补的应用程序或硬件漏洞。您的环境中的漏洞越少,攻击者就越容易利用这些漏洞。其次,采取必要措施爱护您的组织免受网络钓鱼和社会工程攻击。尽管电子邮件数据泄漏预防和防病毒工具是一具特别好的起点,但您也必须对职员实施某种形式的网络安全意识培训。培训职员在打开电子邮件或点击链接时更加仔细和留心,这对爱护自个儿大有裨益。第三,思量一具EDR平台,其中包括行为防病毒软件和实时监控。如此的解决方案能够确定一组特定应用程序的正常行为,并能够即将标记潜在的受损进程。这反过来又使您的安全团队具备对其网络的必要可见性,以便在很多无文件攻击造成重大伤害之前检测并减轻这些攻击。最终,思量一具高级威胁检测平台,该平台利用取证、实时内存检查和实时行为分析来暴露像infocely如此的无文件威胁。经过不被检测到的恶意软件(Infocyte)和不被检测到的端点举行持续的恶意软件(Infocyte)检测,并在不被检测到的端点上执行响应分析。除了检测无文件威胁外,Infocely还能够快速高效地暴露恶意进程、零日恶意软件和高级持久性威胁(APTs),而无需定制足本或取证专家来举行威胁搜索。文件更少的网络威胁需要一种新的想法无文件恶意软件是威胁情报界相对较新的软件,使得无文件威胁更难以检测、理解和消除。好消息是知识是你最好的武器。经过更好地理解无文件恶意软件以及检测和响应它所需的工具,无文件恶意软件很易于治理。对于作者Tim Mullahy是Liberty Center One的执行副总裁兼总经理,Liberty Center One是位于密歇根州Royal Oak的新型数据中心。蒂姆在信息技术和服务业有着丰富的工作经验。


DDoS防御

当前位置:主页 > 行业资讯 > 为啥传统的端点检测和响应(防DDoSEDR)平台不能检测到无文件恶意软件

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119