現(xiàn)代惡意軟件比你想象的更頑固。您可能擁有安全軟件和尖端的反惡意軟件解決方案來保護(hù)您免受可能的攻擊。不幸的是，現(xiàn)代惡意軟件有時(shí)仍然可以擊敗您的防御。AV-TEST Institute 表示，他們每天注冊(cè)超過 450,000 件新的惡意軟件和可能不需要的應(yīng)用程序。那么，現(xiàn)代惡意軟件擊敗您的防御的主要方式是什么，您能做些什么呢？

前 5 大惡意軟件以及如何防范它們

1. 多態(tài)惡意軟件不斷變換和變形

大多數(shù)反惡意軟件工具只會(huì)檢測(cè)已知的惡意軟件簽名。然而，多態(tài)惡意軟件不斷變異和變形以避免早期檢測(cè)。黑客只需對(duì)代碼進(jìn)行一些簡(jiǎn)單的更改即可輕松創(chuàng)建新的二進(jìn)制簽名。

這種現(xiàn)代惡意軟件可以繞過大多數(shù)安全解決方案，包括電子郵件過濾、防病毒應(yīng)用程序、沙盒，甚至 IPS/IDS。而且，就像零日惡意軟件一樣，攻擊者可以在供應(yīng)商有足夠時(shí)間處理漏洞之前輕松利用漏洞。

你可以做些什么：

• 使您的軟件保持最新
• 避免看起來可疑的鏈接或附件
• 使用強(qiáng)密碼并經(jīng)常更新
• 利用基于行為的檢測(cè)工具

2. 無文件惡意軟件在運(yùn)行時(shí)內(nèi)存中執(zhí)行

無文件惡意軟件不會(huì)在您的計(jì)算機(jī)上留下任何足跡，并且僅在運(yùn)行時(shí)內(nèi)存中執(zhí)行。這是什么意思？本質(zhì)上，無文件惡意活動(dòng)是無法檢測(cè)到的，因?yàn)榇蠖鄶?shù)反惡意軟件工具只檢查靜態(tài)文件和操作系統(tǒng)進(jìn)程。防病毒、沙盒、UEBA 和 IPS/IDS 可能無法保護(hù)您免受無文件惡意軟件攻擊。

你可以做些什么：

• 我投資于培訓(xùn)您的員工
• 指導(dǎo)他們注意他們點(diǎn)擊的鏈接（無論是電子郵件還是在線），并與 IT 團(tuán)隊(duì)就可能的威脅進(jìn)行溝通
• 您還可以利用Indusface WAS等托管威脅搜尋服務(wù)

3. 域生成算法修改命令和控制地址詳細(xì)信息

反惡意軟件解決方案通常會(huì)阻止已知的命令和控制服務(wù)器。但是，域生成惡意軟件可以使用以前未知的地址修改服務(wù)器地址詳細(xì)信息，從而使攻擊更難檢測(cè)。DGA 惡意軟件簽名可以擊敗沙盒、EDR 甚至安全 Web 網(wǎng)關(guān)。

你可以做些什么：

• 分析 DNS 日志并識(shí)別 DGA 攻擊留下的垃圾 DNS 條目中的模式
• 機(jī)器學(xué)習(xí)和人工智能解決方案通常更有效地處理此任務(wù)，因?yàn)槿绻謩?dòng)完成它可能既耗時(shí)又困難

4. 加密有效載荷加密通信

內(nèi)容掃描是反惡意軟件工具用來保護(hù)您免受敏感數(shù)據(jù)泄露的常用方法。不幸的是，攻擊者有一種解決方法，其中涉及受感染主機(jī)和命令與控制服務(wù)器之間的加密。DLP、EDR 和安全 Web 網(wǎng)關(guān)不適合加密的有效負(fù)載。

你可以做些什么：

• 認(rèn)真掃描所有下載的文件

5. 主機(jī)欺騙隱藏?cái)?shù)據(jù)的目的地

主機(jī)欺騙會(huì)欺騙頭信息。結(jié)果，數(shù)據(jù)的真正目的地被掩蓋了。因此，即使您的反惡意軟件解決方案能夠抵御已知的命令和控制服務(wù)器，攻擊者也可以繞過它侵入您的系統(tǒng)。沙盒、安全 Web 網(wǎng)關(guān)和 IPS/IDS 無法與主機(jī)欺騙相匹敵。

你可以做些什么：

• 監(jiān)控您的網(wǎng)絡(luò)是否有異常活動(dòng)
• 部署數(shù)據(jù)包過濾以檢測(cè)不一致
• 使用驗(yàn)證
• 驗(yàn)證 IP 地址
• 使用網(wǎng)絡(luò)攻擊攔截器和防火墻

如何檢測(cè)惡意軟件并保護(hù)自己？

有處理不同現(xiàn)代惡意軟件攻擊的特定方法。但是，如果每個(gè)公司想要保護(hù)自己免受現(xiàn)代惡意軟件的侵害，也應(yīng)該采用一些通用做法。

您可以通過以下方式限制和最小化惡意軟件的影響：

• 利用多層防御。防范現(xiàn)代惡意軟件是一項(xiàng)持續(xù)的工作，而且很少是“一勞永逸”的。利用多層安全性，包括防病毒軟件、網(wǎng)絡(luò)層保護(hù)、安全 Web 網(wǎng)關(guān)和其他工具以獲得最佳效果。不斷改進(jìn)您的安全流程。
• 實(shí)施流量分析。查找可維護(hù)整個(gè)網(wǎng)絡(luò)整體視圖的反惡意軟件工具。惡意軟件攻擊通常針對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)盜竊，因此只關(guān)注一個(gè)網(wǎng)絡(luò)區(qū)域是不夠的，并且會(huì)使您容易受到黑客攻擊。
• 利用大數(shù)據(jù)。對(duì)于零日惡意軟件，您必須能夠從大量數(shù)據(jù)和信息中提取信息來識(shí)別模式并檢測(cè)惡意軟件。利用大數(shù)據(jù)，您可以在看似不相關(guān)的活動(dòng)之間“連接點(diǎn)”。

結(jié)論

現(xiàn)代惡意軟件通常是有問題的。它利用了弱點(diǎn)和漏洞——至少在適當(dāng)?shù)臅r(shí)候，你可能對(duì)它們一無所知。即使您設(shè)置了最好的防御措施，如果您不持續(xù)監(jiān)控和適應(yīng)，您也可能會(huì)遇到麻煩。使用上述內(nèi)容作為保護(hù)網(wǎng)絡(luò)安全的起點(diǎn)。使用全面的多層方法來確保安全并不斷更新您的員工培訓(xùn)。