3 種威脅防護方法

攻擊者不斷 重複使用、修改或建立全新的 惡意軟體，導致大量惡意軟體以組織為目標。這也讓攻擊者能夠專注於開發更具高度躲避性的威脅，其內建功能可偵測惡意軟體的分析環境，並停止惡意活動，直到不再受到分析為止。與此同時，組織既要努力跟上大量惡意軟體的速度，又要識別和預防複雜的攻擊。

偵測躲避式威脅面臨多重挑戰。躲避性威脅會搜尋有效使用者活動和虛擬化技術的指標，並會暫停惡意活動，直到不再有被識別的風險為止。他們利用開放原始碼軟體中已知的漏洞，並尋找流行的管理程序所使用的偵測技術。因此，它們變得高度商品化，也因此更常被使用。

必須重新思考用來偵測這種現代型惡意軟體的策略。以下是安全工具必須做的三件關鍵事，以協助識別威脅，並最終防護威脅。

1.使用專門設計的虛擬分析

若要偵測高度迴避的惡意軟體，請使用專門打造的虛擬分析環境，此環境結合了獨特的管理程序和模擬器，不依賴開放原始碼或專屬軟體。此環境不應顯示會讓攻擊者知道他們已被發現或惡意軟體的行為正被可觀測性的特徵。

2. 採用裸金屬分析

使用虛擬環境進行惡意軟體分析是無法避免的。然而，在虛擬環境中顯示迴避技術的樣本也應該在真實硬體系統上引爆，也就是所謂的裸金屬分析環境。為了避免引起攻擊者的懷疑，疑似檔案應在沒有人為干預的情況下動態導向至裸金屬環境。

3. 整合威脅情報

為了對抗在 地下經濟中崛起的高度躲避性威脅，組織應將高度情境化且可操作的威脅情報納入安全防禦中。

威脅情報應該來自多個來源，並針對必要的背景進行相關性和驗證。如果沒有適當的情境，威脅情報只是以大量的原始妥協指標來增加噪音。結果是誤判和漏判的情況增加，需要安全人員採取任何行動回應。此外，將威脅情報與虛擬分析環境整合，可實現快速、自動化的防護，將額外專業人員的需求降至最低。

單一平台上的防入侵分析與情境威脅情報

Palo Alto Networks Next-Generation Security Platform 可在網路、雲端和端點自動偵測和防護最具威脅的威脅。WildFire^®威脅分析服務是該平台不可或缺的一部分，它結合了多種技術來進行防避惡意軟體分析和自動防護 - 靜態分析、 透過客製化虛擬分析環境進行的動態分析、 機器學習 以及可在真實硬體上完全執行的裸金屬環境。

AutoFocus^™ 上下文威脅情報服務也是該平台的一部分，可提供必要的資訊以瞭解攻擊為何、在何處發生以及如何影響網路。它能回答 「誰在攻擊？」等問題。「他們使用什麼工具？」以及 「這會對網路造成什麼影響？」並自動排定目標攻擊的優先順序。結果是更快的分析、更簡易的相關性和快速的事件回應，最終減少對額外 IT 專門安全資源的需求。

若要進一步瞭解如何防禦逃避式攻擊，請閱讀 Rethink Your Strategy to Defeat Evasive Attacks 白皮書。