無文件攻擊比基于惡意軟件的傳統(tǒng)威脅更容易實施也更有效，因而給公司企業(yè)的安全防護帶來了更大的挑戰(zhàn)。

[[217813]]

網(wǎng)絡(luò)罪犯自然會尋找阻力最小的途徑實施攻擊，這也正是越來越多的網(wǎng)絡(luò)罪犯采用無文件攻擊的原因所在。隨著攻擊者對該攻擊手法的應(yīng)用越來越得心應(yīng)手，企業(yè)雇員越來越依賴移動設(shè)備和云來開展工作，無文件攻擊的威脅也越來越大了。

無文件攻擊也就是非惡意軟件攻擊，是一種可以讓攻擊者省去傳統(tǒng)惡意軟件攻擊所需步驟的攻擊手法。他們不用創(chuàng)建攻擊載荷，只需簡單地利用可信程序獲取內(nèi)存訪問即可。2017年，利用PowerShell或WMI的無文件攻擊占了全年攻擊總數(shù)的52%。

盡管如此，企業(yè)依然沒有對無文件攻擊投以足夠的關(guān)注。大多數(shù)人對網(wǎng)絡(luò)安全行業(yè)的認(rèn)知依然停留在打了多年交道的傳統(tǒng)攻擊方法上。

企業(yè)是時候進一步了解這些威脅的工作機制了。他們有必要搞清如何檢測無文件攻擊，為什么無文件攻擊會呈增多趨勢，以及可以采取哪些步驟做好防護。

現(xiàn)代無文件攻擊的進化史

無文件攻擊并不是新鮮事物，但它們隨著時間流逝而發(fā)展變化。

今天的無文件攻擊遠不止“無文件”這么簡單，要說無文件的話，十幾年前的紅色代碼(Code Rad)病毒和Slammer蠕蟲就應(yīng)用了無文件的概念，藏身于內(nèi)存之中;但今天的無文件攻擊是整個攻擊鏈、攻擊步驟全都無文件。即便今天的無文件攻擊確實涉及到攻擊載荷，這些載荷也往往貌似合法，因而非常難以檢測。

無文件惡意軟件攻擊的增長，源于其易用性和終端檢測及響應(yīng)(EDR)工具的改進。

網(wǎng)絡(luò)中真正令企業(yè)傷筋動骨的，是用戶名和口令被盜，而不是擺了他們一道的惡意軟件本身。

攻擊者使用域賬戶和IP管理員口令在目標(biāo)網(wǎng)絡(luò)內(nèi)橫向移動并盜取信息。他們的活動形式多樣，大多數(shù)情況下獲取某用戶的 Office 365 或AWS登錄賬戶更有價值。

某種程度上，所有攻擊者都必須先進入網(wǎng)絡(luò)或系統(tǒng)，也就是說，憑證盜竊是攻擊的第一步。本地管理員憑證往往是首選，因為沒人對它們多加關(guān)注，它們也沒被指派給具體個人。這基本上是種常態(tài)，畢竟這么做可以讓管理工作更簡單些。服務(wù)賬戶憑證同樣脆弱。攻擊者一旦接入系統(tǒng)，就會用提權(quán)技術(shù)提升此類賬戶的權(quán)限。

為什么會暴露在風(fēng)險之中

公司企業(yè)沒掌握自身IT系統(tǒng)復(fù)雜性，未能完全監(jiān)視自家整個生態(tài)系統(tǒng)，是令自身暴露在風(fēng)險之中的一大原因。

很多企業(yè)都被大量數(shù)據(jù)淹沒，且無法將賬戶和用戶行為整合到一起以供分析。而只要無法跟蹤，也就無法知道哪個賬戶訪問了哪些資源。

如果企業(yè)員工還沒采用基本安全操作，那么所面臨的威脅還會更大。網(wǎng)絡(luò)釣魚攻擊就是用于獲取憑證的一大流行方式。

黑客會對員工發(fā)起針對性攻擊，尋求其亞馬遜、Gmail、PayPal和其他常見服務(wù)的登錄憑證。他們知道人們常會使用同一對用戶名和口令登錄不同的服務(wù)。

一旦黑客入手了員工的個人賬戶，就可以利用該賬戶嘗試進入其企業(yè)網(wǎng)絡(luò)。很多攻擊者都會對低級別員工下手，以期通過監(jiān)視其郵件活動來分析出高級別員工的賬戶信息。

威脅蓄勢待發(fā)

隨著員工越來越移動化和云端化，無文件攻擊也會見長。遠程辦公極大地增加了對基礎(chǔ)設(shè)施的風(fēng)險。從外面帶進來的設(shè)備都應(yīng)該在登入本地網(wǎng)絡(luò)之前再進行一次鏡像和掃描。

移動設(shè)備在醫(yī)療保健行業(yè)所占比重越來越大，各行各業(yè)也都在朝著云端邁進。但像云這樣的環(huán)境，CISO對誰從哪兒登入的系統(tǒng)到底了解多少呢?大部分人都假定云是安全的，但云上包含有大量早已棄用理應(yīng)注銷的憑證，這些憑證可都是攻擊者觸手可得的合法憑證。

鑒于受經(jīng)濟利益驅(qū)動的攻擊者將一直存在，未來將有更多威脅對企業(yè)造成損害幾乎是肯定的。殘酷的現(xiàn)實是，我們將見證破壞性攻擊的增長。

我們能做些什么?

防止網(wǎng)絡(luò)釣魚應(yīng)從員工培訓(xùn)做起。滲透測試是個不錯的培訓(xùn)辦法，可以增強員工對網(wǎng)絡(luò)釣魚的免疫力，不至于一被釣魚就上鉤。還應(yīng)設(shè)立暢通的員工報告渠道，讓員工只要發(fā)現(xiàn)可疑跡象就能快速上報。

除此之外，公司企業(yè)還應(yīng)緊密關(guān)注其生態(tài)系統(tǒng)中的各種活動。

可以引入工具集，找出公司整個基礎(chǔ)設(shè)施上的所有憑證。結(jié)果可能會令人大吃一驚，基礎(chǔ)設(shè)施上流轉(zhuǎn)的憑證數(shù)量往往比員工總數(shù)多得多。

評估了憑證數(shù)量之后，公司安全團隊還應(yīng)深挖這些憑證的使用情況。比如都是誰在哪里使用了這些憑證，是怎么使用的。正常登錄地點之外的憑證使用都應(yīng)觸發(fā)警報。大型企業(yè)或跨國企業(yè)這種基礎(chǔ)設(shè)施規(guī)模龐大的機構(gòu)組織，有必要引入自動化技術(shù)進行憑證安全管理工作。

傳統(tǒng)身份與訪問管理方法也可以借鑒一二，而如果企業(yè)夠成熟，可以考慮采納能自動化訪問管理的工具集。這些工具在幫助企業(yè)掌握網(wǎng)絡(luò)登錄者的身份、位置、登錄方法和所做動作上應(yīng)該會很有幫助。