先发优势:为什么新的恶意软件最初会打败反恐

  • 时间:
  • 浏览:60
  • 来源:it300
先发优势:为什么新的恶意软件最初会打败反恐

虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。

最近有重大安全事件的报告激增,其中许多是由于公司网络中受恶意软件感染的端点而导致的。受害者包括可口可乐,BG集团和南卡罗来纳州税务局等。这些受恶意软件感染的端点可能安装了防病毒(AV)解决方案,因为事件调查报告没有提到缺乏AV作为攻击成功的原因,但它们仍然受到恶意软件的攻击。这种差异可能与AV解决方案似乎遭受的“第一个月的安全差距”有关。

第一个月的Security Gap

AV-TEST Institute是“IT安全和反病毒研究领域的领先国际和独立服务提供商”。根据AV-TEST的网站,为了测试安全解决方案的保护作用,AV-TEST研究人员模拟了各种现实的攻击场景,例如电子邮件附件的威胁,受感染的网站或从中传输的恶意文件外部存储设备。在进行这些测试时,AV-TEST会考虑保护程序的全部功能。

但即使启用了所有防病毒功能,结果也会显示出令人担忧的安全漏洞。

[ 123]

图1 AV-TEST针对Windows 7恶意软件的防病毒行业检测结果

对于一种新的恶意软件,ivirus解决方案在对抗广泛存在的恶意软件方面非常有效,对于较旧的恶意软件(2-3个月大)效果稍差,有很好的机会,根据AV-TEST,它将躲避13%的防病毒解决方案。如果您认为13%是一个足够的误检率,请考虑以下示例:假设您的组织有10个新的恶意软件攻击,并且您的AV有13%的误检率,那么组织网络中的一台计算机可能会受到感染,保持这种状态2个月。

这两个月的安全漏洞对于袭击者来说是一个千载难逢的机会,可能是防御者的“死亡之谷”。请记住,攻击者花了不到两个月的时间就违反了南卡罗来纳州税务局的数据库。

冷杉t Mover Advantage

中国古代军事战略家孙子说:“无论谁是战场上的第一人,等待敌人的到来,战斗都是新鲜的;无论谁是战场上的第二人并且必须赶紧战斗,他们将会疲惫不堪。

这种安全漏洞的主要原因之一是攻击者拥有“先发优势”。攻击者可以访问防病毒产品,因为它们是公开的。因此,攻击者只有在通过攻击者实验室的“质量保证”测试后才能发布他们的恶意软件产品,确保它不会受到防病毒解决方案的检测。

演示如何修改恶意负载以逃避AV产品的检测可以在以下视频中找到。 Graviton,恶意软件开发pment框架可执行文件,最初是由AV产品检测到的(视频中的1:40),但是稍后(16:14进入视频)因为对文件进行了一些修改,它避开了AV产品,尽管它的核心功能没有改变。

图2由AV


捕获的原始Graviton恶意软件图3改进的Graviton恶意软件Evades AV

[这种现象及其解释并不新鲜,可以追溯到2005年。那一年,澳大利亚计算机应急响应小组(AusCERT)宣布,八十(!)%的新恶意软件击败了防病毒软件并解释说:“发生的事情是坏人,罪犯,正在测试他们的恶意代码对抗防病毒产品,以确保他们无法检测到。“

首先减轻罪行具有深度防御的移动优势

作为防御者,我们应该如何应对即将到来的安全漏洞?一个着名的心理学引语指出“改变的第一步是意识”。我们需要接受这样一个事实,即AV不是一个完美的解决方案,我们网络中的一些机器将被感染。接下来,我们需要为我们的防御创造一些深度。我们也不能让我们的第一道防线成为我们的最后一道防线。

因此,我们需要通过重新平衡我们的安全组合和投资数据保护解决方案来增强我们的公司防御。这样,即使我们的第一道防线(AV)遭到破坏,并且它将被破坏,我们的宝贵数据仍将保持安全,因为我们的二级防线上安装了数据保护解决方案ense。

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01

乌克兰逮捕'雪崩'网络犯罪组织者:警察

乌克兰逮捕'雪崩'网络犯罪组织者:警察警方周一表示,乌克兰已经拘留了大规模雪崩网络犯罪网络的组织者之一,这一全球戒指在国际袭击中被摧毁一年多。“国际犯罪平台的组织者据乌克兰网络

2019-02-01