什麼是未知的網路威脅？

大多數傳統的安全產品都是根據已知的威脅而建立的。他們一看到已知是惡意的東西，就會攔截它。為了避開成功阻擋已知威脅的安全產品，攻擊者不得不創造一些前所未見的東西，增加執行攻擊的成本。他們是如何做到的？我們該如何預防已知和未知的威脅？

讓我們來看看幾種情況：

回收威脅

循環威脅被認為是最具成本效益的攻擊方法，這也是攻擊者經常使用先前已證實的技術循環現有威脅的原因。讓這些回收威脅成為「未知」威脅的原因，在於安全產品的記憶體有限。所有安全性產品的記憶體都是有限的，安全性團隊會選擇最新的威脅來防護，希望它們能阻擋大部分的來襲。如果未被安全性產品追蹤到的舊威脅嘗試進入網路，它可能會繞過安全性產品，因為它未被歸類為以前見過的東西。

為了防範這些「未知」的回收威脅，存取威脅情報儲存器是關鍵資料，通常放置在彈性雲端基礎架構中，能夠擴充以處理大量的威脅資料。如果安全性產品沒有識別及儲存特定的威脅事件，存取更大的威脅情報知識庫可協助判斷某事是否為惡意，並使安全性產品能夠阻擋它。

修改現有法規

這種方法比回收威脅更昂貴。攻擊者利用現有的威脅，在威脅主動在網路中轉換時，以手動或自動的方式對程式碼稍作修改。這會導致多形惡意軟體或多形 URL。就像病毒一樣，惡意軟體會不斷地自動變形，並快速變化。如果安全產品將原來的威脅識別為已知威脅，並僅基於一種變異為其建立防護，則代碼的任何輕微變更都會將該威脅變成未知威脅。

有些安全產品會使用雜湊技術來比對威脅，此技術會根據一串文字產生一個完全獨一無二的號碼，這樣就不可能得到兩個相同的雜湊值。在此情況下，雜湊值只會匹配威脅的一種變體，因此威脅的任何新變體將被視為新的未知變體。

為了更好地防禦這些威脅，安全產品需要使用多態簽章。多態簽章是根據流量和檔案的內容和模式而非雜湊值建立的，可以識別和防禦已知威脅的多種變體。由於專注於行為，而非固定編碼的外觀，因此可以偵測出修改過的惡意軟體中的模式。

新產生的威脅

更有決心且願意投入金錢的攻擊者，會以純粹的新程式碼製造全新的威脅。網路攻擊生命週期 攻擊的所有方面都必須是全新的，才能真正被視為先前未知的威脅。

• 專注於業務行為
  防禦這些新的威脅需要專注於您獨特的業務行為和資料流。此資訊即可實作為網路安全的最佳實務。舉例來說，利用使用者 ID 和應用程式 ID 進行區隔，有助於防護新的威脅在組織中蔓延，並阻擋來自新的、未知和未分類網站的下載。
• 利用集體威脅情報
  沒有一個組織會經歷所有的新威脅，這就是為什麼能夠從集體威脅情報中獲益是如此重要。透過全球資訊分享，未知、前所未見的威脅的目標性攻擊可迅速為人所知。當一個組織分析並偵測到新的威脅時，可以將新發現的威脅資訊分發到整個社群，並提前部署緩解措施，以限制攻擊的擴散和效果。

將未知的威脅轉化為已知的威脅，並積極地對其進行 Threat Prevention，是在一個結合的環境中發生的。首先，您需要預測下一個攻擊步驟和位置。其次，您需要能夠快速開發並提供防護至執行點，以便阻止它。

自動化防護

當真正的新威脅進入您的組織時，第一道防線就是擁有專屬於組織的網路安全最佳實務。同時，您應該傳送未知的檔案和 URL 進行分析。沙箱分析的有效性取決於對未知威脅提供準確判斷、在整個組織中建立和實作防護所需的時間，以及您的沙箱環境如何處理逃避性威脅。您的安全勢態需要快速變更，以便在威脅有能力進展之前阻擋它 - 換句話說，就是儘快。而為了確保這種威脅不會進一步穿越網路，需要在所有安全性產品中自動建立並實作預防措施，速度要比威脅擴散的速度更快。

SANS 最近的一項調查報告指出，40% 的攻擊具有先前未知的元素。偵測未知威脅和防護成功攻擊的能力，決定了您的安全部署是否有效。真正的 新世代安全平台 靈活敏捷，可快速將未知威脅轉化為全球層級的已知防護。自動分享新的威脅資料，同時將新的防護措施擴展至整個組織，以阻止攻擊擴散。