[[427897]]

上一季度威脅趨勢(shì)的分析結(jié)果表明，攻擊者增加了無(wú)文件惡意軟件的使用，而所有檢出惡意軟件中近三分之二是零日惡意軟件。

企業(yè)如果尚未實(shí)現(xiàn)控制措施檢測(cè)藏身于加密網(wǎng)絡(luò)流量中的惡意軟件，就會(huì)面臨環(huán)境中廣泛分布大量惡意工具，自身端點(diǎn)設(shè)備可能遭受攻擊的風(fēng)險(xiǎn)。

WatchGuard Technologies采用從客戶網(wǎng)絡(luò)收集到的匿名數(shù)據(jù)分析研究了威脅活動(dòng)。結(jié)果表明，2021年第二季度檢出的惡意軟件中，91.5%都涉及通過(guò)加密HTTPS連接投送。WatchGuard表示，目前只有20%的企業(yè)設(shè)置有解密和掃描HTTPS流量以發(fā)現(xiàn)惡意軟件的檢測(cè)機(jī)制，意味著其余80%的企業(yè)有可能漏掉九成日常攻擊其網(wǎng)絡(luò)的惡意軟件。

WatchGuard首席安全官Corey Nachreiner表示，大部分企業(yè)沒有啟用基于網(wǎng)絡(luò)的HTTPS解密控制措施的一個(gè)原因，在于他們認(rèn)為這一設(shè)置十分復(fù)雜，而某種程度上講，解密和掃描HTTPS流量也確實(shí)很復(fù)雜。

“既想發(fā)揮中間人解密的功效，又想不破壞保護(hù)流量的HTTPS證書的神圣性，就必須設(shè)置中間證書或根CA證書，這是官方證書驗(yàn)證過(guò)程的一部分。”

有很多種方法可以做到這一點(diǎn)，其中一些比較棘手，而另一些則沒有那么復(fù)雜。

Nachreiner稱：“簡(jiǎn)而言之，第一次這么做確實(shí)需要付出一些努力，還要?jiǎng)?chuàng)建例外規(guī)則好讓機(jī)制能夠運(yùn)行良好，這就是為什么有些公司不愿意花費(fèi)這些時(shí)間精力的原因。但我們堅(jiān)信這樣做是值得的，否則你的網(wǎng)絡(luò)安全會(huì)漏掉很多風(fēng)險(xiǎn)。”

本周發(fā)布的WatchGuard報(bào)告強(qiáng)調(diào)了企業(yè)在惡意軟件方面令人不安的趨勢(shì)，其中就提到了加密惡意軟件這一數(shù)據(jù)點(diǎn)。

例如，WatchGuard的分析顯示，僅今年前六個(gè)月，基于腳本的攻擊(無(wú)文件攻擊)數(shù)量就已達(dá)到2020年全年總數(shù)的80%。上一季度的數(shù)據(jù)表明，相較于2020 ，今年無(wú)文件惡意軟件的數(shù)量有可能翻一番。

類似加密惡意軟件，無(wú)文件攻擊(例如涉及使用JavaScript、PowerShell和Visual Basic的攻擊)是另一種不易被某些殺毒軟件(AV)工具檢測(cè)到的威脅。

Nachreiner指出：“雖然情況并非總是如此，但其中許多腳本都可以設(shè)計(jì)為利用本地合法工具的攻擊，這意味著端點(diǎn)上永遠(yuǎn)不會(huì)落下任何惡意文件。攻擊者繼續(xù)使用腳本和盜自受害者的權(quán)限或通過(guò)提權(quán)攻擊，來(lái)推進(jìn)他們的惡意活動(dòng)。”

因此，以文件為中心的惡意軟件檢測(cè)工具可能會(huì)漏掉這些攻擊。

零日惡意軟件和其他趨勢(shì)

零日惡意軟件檢出數(shù)量比上一季度下降了9%，但仍占第二季度所有惡意軟件樣本的64%，形勢(shì)不容樂觀。該數(shù)據(jù)是基于特征碼的殺毒軟件工具不足以應(yīng)付當(dāng)前威脅情況的又一明證。

Nachreiner表示：“攻擊者可以自動(dòng)重新打包惡意軟件，這意味著投放到各個(gè)受害者系統(tǒng)上的同一惡意軟件可能披著不一樣的外衣。”

企業(yè)越來(lái)越需要機(jī)器學(xué)習(xí)模型或行為分析這樣的檢測(cè)技術(shù)，從而能夠主動(dòng)檢測(cè)貌似新型的惡意軟件，而不必等待殺軟供應(yīng)商發(fā)布惡意軟件特征碼。

在宏觀層面，企業(yè)邊界處檢出的惡意軟件下降了近4%，但網(wǎng)絡(luò)攻擊數(shù)量遠(yuǎn)超上一季度，激增至三年來(lái)的新高。上季度網(wǎng)絡(luò)攻擊總數(shù)達(dá)到520萬(wàn)次，比第一季度增長(zhǎng)22.3%。這些數(shù)字突顯了其他供應(yīng)商注意到的一種趨勢(shì)，即在新冠肺炎疫情迫使人們轉(zhuǎn)向更分散的工作環(huán)境之后，攻擊者的關(guān)注重點(diǎn)發(fā)生了變化。

Nachreiner說(shuō)：“我們認(rèn)為，這種情況就是疫情造成的，疫情期間很多知識(shí)型員工都轉(zhuǎn)為在家工作了。”由于惡意軟件往往針對(duì)用戶接收電子郵件或?yàn)g覽網(wǎng)頁(yè)的任何地方，因此攻擊者已將重點(diǎn)轉(zhuǎn)向遠(yuǎn)程員工。

“既然員工現(xiàn)在都在家里辦公了，惡意軟件也就轉(zhuǎn)戰(zhàn)公司網(wǎng)絡(luò)邊界之外了。這就是為什么我們?cè)谶吔缣帥]有看到那么多惡意軟件的原因。”。Nachreiner警告稱，這并不一定意味著惡意軟件的總量已經(jīng)下降。這一數(shù)據(jù)僅表明端點(diǎn)安全產(chǎn)品而不是外圍網(wǎng)絡(luò)控制措施檢出了大部分惡意軟件。

與此同時(shí)，網(wǎng)絡(luò)攻擊者繼續(xù)攻擊仍部署在辦公室或云端的服務(wù)器和服務(wù)。幾位安全研究人員注意到，由于更多的員工(包括信息安全人員)在家辦公，這些服務(wù)器和服務(wù)的防護(hù)程度大多有所降低。