研究人員日前發現，HEAT(Highly Evasive Adaptive Threat)是一種具備高度規避性的自適應新威脅，它使用多種技術，專門規避當前安全架構中多層機制的檢測。

在疫情防控常態化趨勢下，越來越多的企業開啟遠程辦公模式，企業“上云”成為驅動流程創新和業務創新的主流方式。為了對遠程模式的員工下手，網絡犯罪分子經常通過網絡釣魚或魚叉式網絡釣魚電子郵件發送惡意鏈接。雖然這種簡單的攻擊策略很有效，但攻擊者一直在改變攻擊方法，并尋找新的攻擊途徑，企圖保持領先一步實施攻擊。

可規避現有檢測技術的新威脅

高度規避性自適應威脅HEAT使用多種技術，專門規避當前安全架構中多層機制的檢測，這種威脅投遞惡意軟件或竊取登錄信息，為盜竊數據、隱形監控、接管賬戶和植入勒索軟件有效載荷創造條件。

HEAT攻擊者利用以下四種規避技術繞過傳統網絡安全防御。

• 規避靜態內容檢查和動態內容檢查：HEAT攻擊規避特征和行為分析引擎，使用HTML走私(HTML smuggling)之類的新穎技術，向受害者投遞惡意有效載荷。
• 規避惡意鏈接分析：在電子郵件路徑中，企業常常可以在惡意鏈接抵達用戶之前分析鏈接，然而，HEAT威脅規避了歷來在電子郵件路徑中實施的惡意鏈接分析引擎。
• 規避離線分類和威脅檢測：HEAT攻擊闖入良性網站，或不遺余力地創建新網站(名為“Good2Bad”網站)，并從這些網站投遞惡意軟件，從而繞過Web分類機制。研究人員發現，從2020年到2021年，Good2Bad網站的數量增加了137%以上。
• 規避HTTP流量檢查：在HEAT攻擊中，包括瀏覽器漏洞、加密貨幣代碼、網絡釣魚工具包代碼和冒充知名品牌徽標的圖像等在內的惡意內容，由瀏覽器中的JavaScript通過渲染引擎生成，在這種情況下，檢測技術顯得毫無用處。

如何應對HEAT威脅

HEAT攻擊現被包括Nobelium(SolarWinds攻擊背后的團伙)在內的知名威脅團伙所利用，且呈愈演愈烈之勢。事實上，Menlo Labs研究團隊觀察到，僅在2021年下半年，HEAT攻擊就猛增了224%。鑒于最終用戶會有75%的工作時間花在瀏覽器上，這種高度規避性攻擊的數量和復雜度會隨之飆升，企業有必要對這種攻擊做好針對性防御。

全球數百萬企業和個人依靠瀏覽器來執行大部分工作和私人事務，隨著遠程辦公的蔚然成風，加上威脅技術的迅猛發展，這種攻擊已成為當今企業面臨的最大威脅之一。此外，由于HEAT攻擊隱藏在合法使用的背后，包括安全Web網關、沙盒、URL信譽和過濾在內的傳統安全功能對這種類型的攻擊毫無作用。僅僅阻止它們行不通。相反，企業必須能夠防范這些技術的惡意使用，才能有效地保護自身。

企業不僅需要與時俱進，實施針對復雜威脅的安全策略和功能，還要改變觀念，才能保護企業免受未來黑客的攻擊。為了保護網絡，安全領導者和業務領導者須改變注重檢測和補救的觀念，轉而采取一種基于零信任架構的預防性安全方法，并采用安全訪問服務邊緣(SASE)框架，以保護遠程混合員工隊伍。只有在靠近最終用戶、應用程序和數據的地方采取安全措施，才能取得良好的效果。

威脅在不斷變化，黑客也變得越來越高明，所有企業成為受害者的風險比以往更大。有一點可以肯定：安全領導者必須保持靈活，確保安全架構與時俱進以防止攻擊發生，并且落實具體的計劃，以防不時之需。只有防止網絡犯罪分子接近其覬覦的網絡、應用程序和設備，企業才能確保資源不受感染，從而讓安全運營團隊更專注于其他可能影響更大的威脅。

參考鏈接：

https://www.darkreading.com/attacks-breaches/protecting-your-organization-against-a-new-class-of-cyber-threats-heat。