四種經常逃避檢測的網絡威脅及其應對方法
有些網絡攻擊比其他攻擊更具隱蔽性。雖然許多攻擊可以通過依賴威脅特征的系統識別和阻止,但許多攻擊無法輕易突破組織通常設置的至少是初始防御層。而且,隨著人工智能的快速普及,威脅行為者擁有更多快速適應檢測機制的方法。
話雖如此,我們來看看四種因能夠繞過檢測和預防系統而臭名昭著的網絡攻擊。這些威脅可能看起來很標準,而且不如其他更先進的技術復雜,但由于它們非常擅長逃避檢測,因此它們成為組織和消費者關注的重要原因。
網站克隆
網站克隆是品牌網站的偽造副本,它誘騙毫無戒心的用戶提交他們的登錄憑據或私人數據,而惡意行為者則會收集這些數據。
這些攻擊通常偽裝成合法品牌的網站,并使用網絡釣魚策略來吸引客戶,從而不被人發現。
有時,詐騙者甚至會在用戶在欺詐網站上輸入信息后將其重定向回真實網站,以逃避任何懷疑,從而使檢測更加困難。
盡管網站克隆的嚴重性及其潛在影響,但企業往往忽視網站安全的重要性,而將內部網絡作為優先事項。他們通常只能通過客戶報告或事后威脅情報解決方案來了解網站被克隆的情況。然而,鑒于克隆網站可能導致數據盜竊、聲譽受損以及大量客戶流失,這種情況本不應發生。
為了減輕此問題造成的損害,組織可以設置Google 快訊,查看最近是否有任何內容在線發布,疑似冒充其網站或品牌。此外,組織還可以投資購買能夠檢測類似可疑域名的網站欺騙防護軟件。
這些解決方案會向品牌發出警報,但并不一定能保護其客戶免受克隆網站在活躍狀態下可能造成的損害。克隆網站的移除過程可能需要幾天、幾周甚至幾個月的時間,才能從搜索引擎中完全移除或被托管服務提供商下線。
為了更有效地應對這一問題,企業應該考慮使用實時檢測和保護工具。Memcyco是一個實時平臺,可以檢測網站克隆,立即向企業發出警報,提供攻擊的完整詳細信息,并通過在克隆網站上發出紅色警報彈出窗口,直至網站被關閉,防止客戶落入陷阱。
雖然目前還沒有可以防止網站克隆的解決方案,但組織能做的最好的事情就是盡快減輕損害。
無文件惡意軟件
無文件惡意軟件也稱為基于內存的惡意軟件,是一種異常軟件,甚至不需要寫入目標設備的存儲設備。它只需要感染設備的隨機存取存儲器 (RAM) 或操縱 Windows 注冊表,這使得檢測極具挑戰性。它通過隱藏在系統中現有的合法進程和工具下,從而謹慎地運行。
網絡安全提供商Morphiesec承認,無文件惡意軟件可以輕松逃避現有的檢測系統,包括靜態和動態分析。
白名單可以減少無文件惡意軟件感染的機會,但并非萬無一失,因為犯罪者總能找到繞過白名單的方法。此外,過度的白名單管理可能會損害組織的運營靈活性。
為了應對無文件惡意軟件,企業必須采用多種策略。這些策略包括文件或應用程序行為分析、高級 EDR、網絡流量分析、權限管理、隔離和分段以及內存分析。
此外,實施零信任策略至關重要,以確保在授予訪問權限或特權之前,每個操作、文件或應用程序都被視為危險并經過審查。
自動移動目標防御 (AMTD) 等預防性網絡安全技術也很有用,因為它們可以在威脅行為者設法利用攻擊路徑之前在應用程序級別阻止攻擊路徑。
被盜憑證
通常情況下,組織需要數周甚至數月的時間才能發現數據泄露,包括用戶名和密碼被盜。通常只有在有人試圖使用被盜憑證登錄賬戶時,才會檢測到憑證被盜。
預防和補救這個問題是完全有可能的。定期更改密碼和多因素身份驗證等安全機制是防止網絡犯罪分子使用被盜登錄信息的有效方法。
此外,使用“我被黑了嗎”之類的可靠服務有助于確定違規行為是否影響了帳戶。
然而,大多數組織和個人的問題在于他們傾向于淡化憑證被盜的威脅。
即使政府機構或銀行等私人機構由于最近發生的特定安全事件而發布更改密碼的建議,許多人也懶得檢查他們的賬戶是否已經被盜用。
因此,如果組織在其賬戶方面更好地遵守網絡安全最佳實踐,則可以減輕這種威脅的普遍性。
多態惡意軟件
顧名思義,多態惡意軟件是指不斷改變代碼和外觀,以阻止基于簽名和基于模式的解決方案檢測到的惡意軟件。每個惡意軟件實例的外觀都不同,因此很難通過傳統方法識別。換句話說,這種惡意軟件會時不時地進化或變異,這使得基于簽名的檢測甚至行為分析在某種程度上都無法有效對抗它。
生成式人工智能的興起加劇了多態惡意軟件的問題。據最近報道,ChatGPT 能夠生成能夠規避大多數 EDR 解決方案的多態惡意軟件。
網絡安全公司 Hyas 通過創建 BlackMamba 證明了這種可能性,這是一個簡單的概念證明,表明可以利用大型語言模型來生成可以在運行時動態自主更改其代碼的多態惡意軟件。
它的運行不需要任何命令和控制基礎設施。
針對多態惡意軟件的解決方案包括行為分析、啟發式分析、沙盒、內存分析、網絡流量分析和人工智能輔助檢測。
需要強調的是,利用人工智能來對抗對抗性利用人工智能至關重要。正如一篇博客文章中所言:“各組織必須保持警惕,確保安全措施與時俱進,并通過運用該領域正在進行的前沿研究來適應新出現的威脅。”
總之
毫無疑問,網絡安全技術和策略已經不斷發展。然而,威脅和攻擊也隨之演變,在傳統的網絡安全實踐中,即使是檢測它們也極具挑戰性。令人欣慰的是,許多問題的解決方案已經存在。
問題只是確保這些解決方案得到實施。最佳實踐,尤其是網絡安全教育,應該是強制性的。此外,旨在應對新興威脅的現代安全技術應得到最大程度的利用,并作為每個組織安全態勢的重要組成部分。
