在我們這個行業(yè)歷史上，幾乎每一個IT專業(yè)人員都非常清楚，有必要制定一個安全策略，這種策略不僅可以防范當前的威脅，也能防范未來的IT組織一樣，在攻擊方法中的“下一件大事”到來時，確保他們做好準備。

[[251075]]

多年來，安全供應商一直在尋求阻止惡意軟件，從純粹基于簽名的檢測，到機器學習，再到利用云技術為許多終端提供有關惡意軟件的最新更新。所有這些進步都改善了企業(yè)的安全立場，但網(wǎng)絡犯罪組織已經也取得了自己的進展。

業(yè)界發(fā)現(xiàn)使用至少一種規(guī)避技術的惡意軟件變種數(shù)量有所增加，這些技術專注于確保惡意軟件本身逃避檢測，允許它感染機器，或者處于休眠狀態(tài)，等待另一個感染機會。在2017年惡意軟件年度回顧報告中，分析了看到的漏洞利用工具包和有效負載組合，發(fā)現(xiàn)86%的漏洞利用工具包和85%的有效載荷都采用了規(guī)避技術。

這些百分比無需簡單地傳遞，認為您的端點或電子郵件反病毒解決方案將阻止它們; 這些技術是根據(jù)防病毒解決方案的弱點專門設計的。這意味著壞人知道好人正在做些什么來發(fā)現(xiàn)惡意軟件，并且正在想出新的方法來確保感染而不被發(fā)現(xiàn)。

逃避檢測

如果您不熟悉規(guī)避惡意軟件技術，可以將它們簡化為我們在2017年看到的三種高級方法：

• 內存注入——有時稱為“無文件”惡意軟件，這種攻擊技術將惡意代碼直接放入內存，導致惡意邏輯耗盡其他合法應用程序，以混淆惡意軟件的存在。研究報告中，我們看到這種技術占48%的時間。
• 惡意文檔文件——通過PDF，Word文檔等執(zhí)行命令的功能。攻擊者利用這些文件類型，因為在許多情況下，企業(yè)允許打開他們，并在沒有問題的情況下運行內部代碼，從而獲得過去的檢測解決方案。我們看到這種技術占用了28%的時間。
• 環(huán)境測試——壞人知道好人如何執(zhí)行基于行為的測試(例如，“沙箱”，其中可疑文件打開PDF附件以查看它是否嘗試執(zhí)行惡意操作)。因此，惡意軟件經常查詢其環(huán)境可以識別威脅(例如檢測沙箱或安全工具的存在)，并保持休眠以避免檢測。

應對增長

防病毒大約有三十年歷史，但仍然是端點保護策略的核心。而且，盡管多年來在檢測方法，更新速度，人工智能的包含以及甚至從世界任何地方的端點上學習更新的云源方面都有所改進，但防病毒仍然是一種反應性檢測為重點的手段保護。

2017年，我們看到了規(guī)避惡意軟件技術的興起，成為惡意軟件攻擊的主流部分，使得從任何地方進行檢測都變得困難到不可能。現(xiàn)在絕大多數(shù)惡意軟件都采用了規(guī)避技術，現(xiàn)在是時候認識到你的安全策略已經不再具有前瞻性了。

防病毒在保護端點方面發(fā)揮著重要作用。但是，通過專門設計的解決方案來增強其安全性至關重要，該解決方案旨在防止惡意軟件繞過基線保護。通過控制惡意軟件如何感知其環(huán)境使其失效(如果程序具有規(guī)避特征)來實現(xiàn)此目的。例如，我們的技術在于惡意軟件無法解壓縮惡意代碼，拒絕訪問PowerShell以避免宏攻擊或模擬每個端點上安全工具的存在，以說服惡意軟件終止自我保護。通過將此層添加到現(xiàn)有端點安全策略中，可以縮小傳統(tǒng)防病毒解決方案留下的空白。