識別躲避式威脅的 3 項挑戰

過去,要創造和部署複雜的網路攻擊,需要先進的技術能力和決心。如今,網路犯罪已演變為包含整個 地下經濟 ,其中可購買或租借用於惡意活動的工具和服務。這使得先進和高度迴避的威脅變得更容易接近和普遍。Evasive 威脅的建立是為了識別商業惡意軟體分析環境 (一般稱為沙箱),並會暫停惡意活動,直到不再有偵測風險為止。

組織努力識別這些高度逃避的威脅,卻往往無法防護。以下是企業和安全工具在對抗逃避式威脅時面臨的三項主要挑戰:

 

1.迴避威脅有市場

安全專業人員已開發出偵測網路威脅的防禦措施,例如虛擬惡意軟體分析環境,而威脅行為者也同時將自動化和商品化硬體融入地下網路犯罪的明確「遊戲手冊」中。這消除了各種威脅行為者實作的障礙,從較不成熟的新手到進階的攻擊者和有組織的國家。因此,複雜攻擊的數量和資料外洩成功的可能性都增加了。

 

2.傳統防禦不再足夠

Evasive 惡意軟體使用惡意程式碼來隱藏其身分和意圖,以避免被傳統的惡意軟體分析環境偵測到。攻擊者會搜尋惡意軟體在虛擬環境中的指標。他們會查看檔案是否被引爆並觀測性;缺乏有效的使用者活動,例如點擊鍵盤、移動滑鼠或插入 USB 隨身碟;或使用使用者名稱、磁碟空間等虛擬化技術。

 

3.開放原始碼軟體傷害多於幫助

開放原始碼提供了一種革命性的軟體開發方式。然而,當談到威脅分析時,開放原始碼卻變得更加不利。大多數的惡意軟體分析環境都是利用開放原始碼,攻擊者利用已知的弱點來取得優勢。此外,惡意軟體作者在設計威脅時,有能力發現並避開常用管理程序所使用的偵測技術。

 

防範躲避式威脅

Palo Alto Networks® Next-Generation Security Platform(Palo Alto 網路下一代安全性平台)在進行威脅偵測與防護時,會將這三件事納入考量。WildFire® 威脅分析服務是該平台不可或缺的一部分 - 結合了靜態分析、自訂虛擬分析環境中的動態分析、機器學習,以及可執行完整硬體的裸機分析環境。

AutoFocus 上下文威脅情報服務也是下一代安全性平台的一部分,可提供必要的資訊以瞭解攻擊為何、在何處發生以及如何影響網路。它能回答「誰在攻擊」這樣的問題?「他們使用什麼工具?」以及 「這會對網路造成什麼影響?」並自動排定目標攻擊的優先順序。結果是更快的分析、更簡易的相關性和快速的事件回應。

Palo Alto Networks® 新世代安全平台跨越網路、雲端和端點,即使是最易迴避的已知和未知惡意軟體和零時差威脅,也能以高功效和近乎零誤報的方式自動防護。

若要進一步瞭解如何防禦逃避式攻擊,請閱讀 RethinkYour Strategy to Defeat Evasive Attacks 白皮書。