鑽石舞台

上一季度威脅趨勢的分析結果表明，攻擊者增加了無文件惡意軟件的使用，而所有檢出惡意軟件中近三分之二是零日惡意軟件。

企業如果尚未實現控制措施檢測藏身於加密網絡流量中的惡意軟件，就會面臨環境中廣泛分布大量惡意工具，自身端點設備可能遭受攻擊的風險。

WatchGuard Technologies採用從客戶網絡收集到的匿名數據分析研究了威脅活動。結果表明，2021年第二季度檢出的惡意軟件中，91.5%都涉及通過加密HTTPS連接投送。WatchGuard表示，目前只有20%的企業設置有解密和掃描HTTPS流量以發現惡意軟件的檢測機制，意味着其餘80%的企業有可能漏掉九成日常攻擊其網絡的惡意軟件。

WatchGuard首席安全官Corey Nachreiner表示，大部分企業沒有啟用基於網絡的HTTPS解密控制措施的一個原因，在於他們認為這一設置十分複雜，而某種程度上講，解密和掃描HTTPS流量也確實很複雜。

「既想發揮中間人解密的功效，又想不破壞保護流量的HTTPS證書的神聖性，就必須設置中間證書或根CA證書，這是官方證書驗證過程的一部分。」

有很多種方法可以做到這一點，其中一些比較棘手，而另一些則沒有那麼複雜。

Nachreiner稱：「簡而言之，第一次這麼做確實需要付出一些努力，還要創建例外規則好讓機制能夠運行良好，這就是為什麼有些公司不願意花費這些時間精力的原因。但我們堅信這樣做是值得的，否則你的網絡安全會漏掉很多風險。」

本周發布的WatchGuard報告強調了企業在惡意軟件方面令人不安的趨勢，其中就提到了加密惡意軟件這一數據點。

例如，WatchGuard的分析顯示，僅今年前六個月，基於腳本的攻擊（無文件攻擊）數量就已達到2020年全年總數的80%。上一季度的數據表明，相較於2020 ，今年無文件惡意軟件的數量有可能翻一番。

類似加密惡意軟件，無文件攻擊（例如涉及使用JavaScript、PowerShell和Visual Basic的攻擊）是另一種不易被某些殺毒軟件（AV）工具檢測到的威脅。

Nachreiner指出：「雖然情況並非總是如此，但其中許多腳本都可以設計為利用本地合法工具的攻擊，這意味着端點上永遠不會落下任何惡意文件。攻擊者繼續使用腳本和盜自受害者的權限或通過提權攻擊，來推進他們的惡意活動。」

因此，以文件為中心的惡意軟件檢測工具可能會漏掉這些攻擊。

零日惡意軟件和其他趨勢

零日惡意軟件檢出數量比上一季度下降了9%，但仍占第二季度所有惡意軟件樣本的64%，形勢不容樂觀。該數據是基於特徵碼的殺毒軟件工具不足以應付當前威脅情況的又一明證。

Nachreiner表示：「攻擊者可以自動重新打包惡意軟件，這意味着投放到各個受害者系統上的同一惡意軟件可能披着不一樣的外衣。」

企業越來越需要機器學習模型或行為分析這樣的檢測技術，從而能夠主動檢測貌似新型的惡意軟件，而不必等待殺軟供應商發布惡意軟件特徵碼。

在宏觀層面，企業邊界處檢出的惡意軟件下降了近4%，但網絡攻擊數量遠超上一季度，激增至三年來的新高。上季度網絡攻擊總數達到520萬次，比第一季度增長22.3%。這些數字突顯了其他供應商注意到的一種趨勢，即在新冠肺炎疫情迫使人們轉向更分散的工作環境之後，攻擊者的關注重點發生了變化。

Nachreiner說：「我們認為，這種情況就是疫情造成的，疫情期間很多知識型員工都轉為在家工作了。」由於惡意軟件往往針對用戶接收電子郵件或瀏覽網頁的任何地方，因此攻擊者已將重點轉向遠程員工。

「既然員工現在都在家裡辦公了，惡意軟件也就轉戰公司網絡邊界之外了。這就是為什麼我們在邊界處沒有看到那麼多惡意軟件的原因。」。Nachreiner警告稱，這並不一定意味着惡意軟件的總量已經下降。這一數據僅表明端點安全產品而不是外圍網絡控制措施檢出了大部分惡意軟件。

與此同時，網絡攻擊者繼續攻擊仍部署在辦公室或雲端的服務器和服務。幾位安全研究人員注意到，由於更多的員工（包括信息安全人員）在家辦公，這些服務器和服務的防護程度大多有所降低。

WatchGuard報告：

https://www.watchguard.com/wgrd-news/press-releases/watchguard-threat-lab-reports-915-malware-arrived-over-encrypted

文章來源：數世諮詢