上一季度威胁趋势的分析显示,攻击者增加了无文件恶意软件的使用,近三分之二的恶意软件是零日恶意软件。
如果企业没有实现控制措施来检测隐藏在加密网络流量中的恶意软件,它将面临大量恶意工具在环境中广泛分布的风险,其终端设备可能会受到攻击。
WatchGuard Technologies利用从客户网络中收集到的匿名数据分析来研究威胁活动。结果表明,在2021年第二季度检测到的恶意软件中,91.5通过加密涉及%HTTPS连接投送。WatchGuard只有20%的企业设置了解密和扫描HTTPS流量发现恶意软件的检测机制,意味着其他80%的企业可能会错过90%的恶意软件,每天攻击其网络。
WatchGuard首席安全官Corey Nachreiner据说大多数企业没有使用基于网络的网络HTTPS解密控制措施的一个原因是他们认为这个设置非常复杂,在某种程度上,解密和扫描HTTPS流量确实很复杂。
“既要发挥中间人解密的作用,又要不破坏保护流量HTTPS中间证书或根必须设置证书的神圣性CA证书是官方证书验证过程的一部分。”
有很多种方法可以做到这一点,其中一些比较棘手,而另一些则没有那么复杂。
Nachreiner称:“简而言之,第一次这样做确实需要一些努力,并创建一个例外的规则来使机制运行良好,这就是为什么一些公司不愿意花这些时间和精力。但我们坚信这是值得的,否则你的网络安全就会错过很多风险。”
本周发布的WatchGuard该报告强调了企业恶意软件的不安趋势,其中提到了加密恶意软件的数据点。
例如,WatchGuard根据分析,仅在今年前六个月,基于脚本的攻击(无文件攻击)就达到了2020年总数的80%。上一季度的数据显示,今年无文件恶意软件的数量可能比2020年翻一番。
无文件攻击类似于加密恶意软件(如使用)JavaScript、PowerShell和Visual Basic攻击)是另一种不容易被某些杀毒软件攻击(AV)工具检测到的威胁。
Nachreiner指出:“虽然情况并非总是如此,但许多脚本可以设计为使用当地法律工具的攻击,这意味着任何恶意文件永远不会落在终点。攻击者继续使用脚本或窃取受害者的权限,或通过提高权力攻击来促进他们的恶意活动。”
因此,以文件为中心的恶意软件检测工具可能会错过这些攻击。
零日恶意软件等趋势
恶意软件检测数量较上一季度下降了9%,但仍占第二季度所有恶意软件样本的64%,形势不容乐观。该数据是基于特征码的杀毒软件工具不足以应对当前威胁的另一个证据。
Nachreiner表示:“攻击者可以自动重新包装恶意软件,这意味着投放在每个受害者系统上的同一恶意软件可能穿着不同的外套。”
企业越来越需要机器学习模型或行为分析等检测技术,以积极检测看似新的恶意软件,而无需等待软件杀死供应商发布恶意软件特征代码。
在宏观层面,企业边界检测到的恶意软件数量下降了近4%,但网络攻击数量远远超过上一季度,飙升至三年来的新高。上一季度,网络攻击总数达到520万次,较第一季度增长22.3%。这些数字突出了其他供应商注意到的一种趋势,即在新冠肺炎疫情迫使人们转向更加分散的工作环境后,攻击者的注意力发生了变化。
Nachreiner说:“在我们看来,这种情况是疫情造成的,很多知识型员工在疫情期间都在家工作。”由于恶意软件经常在任何地方接收电子邮件或浏览网页,攻击者已经将重点转向远程员工。
“既然员工现在在家工作,恶意软件就会转移到公司的网络边界之外。这就是为什么我们在边界上看不到这么多恶意软件。”。Nachreiner警告称,这并不一定意味着恶意软件的总量已经下降。这些数据只显示大多数恶意软件都被检测到,而不是外围网络控制措施。
同时,网络攻击者继续攻击仍部署在办公室或云中的服务器和服务。一些安全研究人员注意到,这些服务器和服务的保护程度大多降低,因为更多的员工(包括信息安全人员)在家工作。