什麼是未知的網路威脅?
大多數傳統的安全產品都是根據已知的威脅而建立的。他們一看到已知是惡意的東西,就會攔截它。為了避開成功阻擋已知威脅的安全產品,攻擊者不得不創造一些前所未見的東西,增加執行攻擊的成本。他們是如何做到的?我們該如何預防已知和未知的威脅?
讓我們來看看幾種情況:
回收威脅
循環威脅被認為是最具成本效益的攻擊方法,這也是攻擊者經常使用先前已證實的技術循環現有威脅的原因。讓這些回收威脅成為「未知」威脅的原因,在於安全產品的記憶體有限。所有安全性產品的記憶體都是有限的,安全性團隊會選擇最新的威脅來防護,希望它們能阻擋大部分的來襲。如果未被安全性產品追蹤到的舊威脅嘗試進入網路,它可能會繞過安全性產品,因為它未被歸類為以前見過的東西。
為了防範這些「未知」的回收威脅,存取威脅情報儲存器是關鍵資料,通常放置在彈性雲端基礎架構中,能夠擴充以處理大量的威脅資料。如果安全性產品沒有識別及儲存特定的威脅事件,存取更大的威脅情報知識庫可協助判斷某事是否為惡意,並使安全性產品能夠阻擋它。
修改現有法規
這種方法比回收威脅更昂貴。攻擊者利用現有的威脅,在威脅主動在網路中轉換時,以手動或自動的方式對程式碼稍作修改。這會導致多形惡意軟體或多形 URL。就像病毒一樣,惡意軟體會不斷地自動變形,並快速變化。如果安全產品將原來的威脅識別為已知威脅,並僅基於一種變異為其建立防護,則代碼的任何輕微變更都會將該威脅變成未知威脅。
有些安全產品會使用雜湊技術來比對威脅,此技術會根據一串文字產生一個完全獨一無二的號碼,這樣就不可能得到兩個相同的雜湊值。在此情況下,雜湊值只會匹配威脅的一種變體,因此威脅的任何新變體將被視為新的未知變體。
為了更好地防禦這些威脅,安全產品需要使用多態簽章。多態簽章是根據流量和檔案的內容和模式而非雜湊值建立的,可以識別和防禦已知威脅的多種變體。由於專注於行為,而非固定編碼的外觀,因此可以偵測出修改過的惡意軟體中的模式。
新產生的威脅
更有決心且願意投入金錢的攻擊者,會以純粹的新程式碼製造全新的威脅。網路攻擊生命週期 攻擊的所有方面都必須是全新的,才能真正被視為先前未知的威脅。
- 專注於業務行為
防禦這些新的威脅需要專注於您獨特的業務行為和資料流。此資訊即可實作為網路安全的最佳實務。舉例來說,利用使用者 ID 和應用程式 ID 進行區隔,有助於防護新的威脅在組織中蔓延,並阻擋來自新的、未知和未分類網站的下載。 - 利用集體威脅情報
沒有一個組織會經歷所有的新威脅,這就是為什麼能夠從集體威脅情報中獲益是如此重要。透過全球資訊分享,未知、前所未見的威脅的目標性攻擊可迅速為人所知。當一個組織分析並偵測到新的威脅時,可以將新發現的威脅資訊分發到整個社群,並提前部署緩解措施,以限制攻擊的擴散和效果。
將未知的威脅轉化為已知的威脅,並積極地對其進行 Threat Prevention,是在一個結合的環境中發生的。首先,您需要預測下一個攻擊步驟和位置。其次,您需要能夠快速開發並提供防護至執行點,以便阻止它。
自動化防護
當真正的新威脅進入您的組織時,第一道防線就是擁有專屬於組織的網路安全最佳實務。同時,您應該傳送未知的檔案和 URL 進行分析。沙箱分析的有效性取決於對未知威脅提供準確判斷、在整個組織中建立和實作防護所需的時間,以及您的沙箱環境如何處理逃避性威脅。您的安全勢態需要快速變更,以便在威脅有能力進展之前阻擋它 - 換句話說,就是儘快。而為了確保這種威脅不會進一步穿越網路,需要在所有安全性產品中自動建立並實作預防措施,速度要比威脅擴散的速度更快。
SANS 最近的一項調查報告指出,40% 的攻擊具有先前未知的元素。偵測未知威脅和防護成功攻擊的能力,決定了您的安全部署是否有效。真正的 新世代安全平台 靈活敏捷,可快速將未知威脅轉化為全球層級的已知防護。自動分享新的威脅資料,同時將新的防護措施擴展至整個組織,以阻止攻擊擴散。