|
任何人都應該知道網絡威脅正在增加,並且隨著先進的駭客技術在外繼續擴散,擁有有效安全解決方案的要求已是公司企業的迫切需求。 由於市場充斥著供應商製造誇張的主張和新聞報導甚至更顯眼的頭條新聞,因此很難將事實與虛構分開。如果您還不熟悉端點安全性,那麼這裡有五個基本的要素可以確保您正確選擇可用的選項。  1. 病毒不是你唯一的威脅 資安威脅從早期電腦病毒的所有認識中發展而來,但大多數資安解決方案仍然在其名稱中使用“防毒”一詞,這其實在現今威脅版中是一種誤稱。 現實情況是,網絡攻擊採取了許多與病毒無關的不同形式,它們的範圍從不區分到高度針對性。其中包括勒索軟件,魚叉式網絡釣魚,偷渡式攻擊以及可能導致客戶和企業資料外洩的軟體和硬體漏洞。 並且不要陷入認為您的業務太小而無法成為目標的陷阱。攻擊者現在正在武器化機器學習,以低成本為自己製作高度針對性的活動。 另外,不要忘記威脅可以來自內部; 心懷不滿的員工比任何局外人更了解您的系統的弱點。但無論起源點如何,良好的端點安全性都需要能夠檢測到不良行為。 2. 惡意檔案只是故事的一部分 大多數人認為資安軟體的工作原理是掃描本地電腦上的文件並確定它們是否是惡意軟體。就像“防毒”一詞一樣,這是一種過時的思考方式。儘管主要以這種方式工作的傳統 AV 仍然存在,即使它們通常也會提供一些附加功能,例如阻止惡意網站或檢測到資源使用過度(通常為勒索軟體和加密礦工使用),還仍然無法有效阻擋這些攻擊的波勢。 為了獲得真正有效的保護,您應該關注那些不僅僅是這些的資安解決方案。今天的網絡犯罪分子能夠利用 filesless 攻擊,更改 DNS 配置去將您的網絡流量重新路由並將惡意程式碼注入合法程序中。傳統的AV解決方案主要重於掃描惡意檔案,這就像上週買的牛奶一樣,遠遠超過其銷售日期。 3. 信任是系統的弱點 正如我們在前面提到的那樣,不受信任的軟體並不是您端點上的唯一危險。甚至第一方和已知的軟體品牌可以被利用來破壞您的系統。 雖然 MS Office Macro 攻擊歷史悠久,但 DDE 之類的攻擊可以利用漏洞,這些漏洞將繞過許多資安軟體,因為它們似乎來自可信的應用程序。同樣,大多數企業可能需要合法的 PowerShell 操作,而 PowerShell 驅動的攻擊正變得越來越普遍。您需要一個有智慧的資安解決方案,允許 PowerShell 保持您的工作效率,同時還能確保它能夠區分惡意行為和合法行為。 如果能夠以系統級權限運行,無論是通過權限提升漏洞還是其他感染方法,現今的惡意軟體也可以在運行 AV 解決方案的許多系統上無干擾地運行。這是因為許多 AV 採用錯誤的方法,其使用通過身份而不是行為來授予信任。當資安解決方案採用這種 “白名單” 方法時,端點變得脆弱並容易受到 supply chain 攻擊和假認證的攻擊。 4. 簡潔的力量 資安軟體不應該是難以使用的,您也不必是資安專家來管理它。不幸的是,許多資安軟體給企業帶來了這種印象,使用需要專業培訓課程掌握的診斷工具和套件,使事情過於復雜。請確保您是選擇最小化維護安全的端點解決方案,並有提供簡潔易懂的使用界面及提供一鍵式修復。 您是需要一個解決方案,團隊中的任何人都可以快速學習和操作。對於業務連續性而言,資安解決方案的知識與受過專門培訓的員工無關。世事難預料,員工們有一天會成長離開,並將這些資安解決方案的專業知識一起帶走。 5. 資安是一種心態,而不是一種產品 最大的問題就是 AV 軟體讓您相信它可以一舉解決所有安全問題。威脅有多種型態和形式:從不區別的勒索軟體攻擊到心懷不滿的員工。當攻擊發生時 (不是 “如果” 發生),您的行動計劃是什麼?您會如何回應?未安排應變計劃可能會對您的客戶,資料和聲譽造成更大的損害。 這就是為什麼您需要一個可以成為整個應變計劃一部分的端點解決方案。像 SentinelOne 這樣的跨平台解決方案可以提供對網絡中甚至加密流量的 deep visibility 深入可見性,一鍵式修復和 rollback,以及易於使用的單個整體 agent。 想了解 SentinelOne 如何有效保護您免受當前的安全風險?
歡迎與我們聯繫
自8月中旬以來,最近的 Ryuk 勒索軟體為其作者提供了一筆可觀的金額,並證明僅僅擁有AV和備份解決方案可能還不夠。
與臭名昭著的 APT Lazarus 集團和早期的 HERMES 勒索軟體變種相關聯,Ryuk 的比特幣錢包已累積超過64萬美元的比特幣,這表明他們的策略迄今為止已取得了多大的成功。我們測試的特定樣品就賺進了50.41 BTC(截至今日為316,265美元)。
我們發現特別有趣的是 Ryuk 試圖在勒索軟體啟動其加密程序之前就停止傳統的 AV 產品並刪除Windows VSS shadow 副本。 在默認情況下, Windows 最多可進行64次卷影複製備份,使用戶能夠在數據遺失或覆蓋的情況下在不同時間點從快照恢復數據。 然而,Ryuk 先刪除快照並調整存儲空間大小並將任何恢復機會為零: 
除了確保內置備份不可用, Ryuk 還禁用了多個第三方備份服務,包括 Acronis , SQLSafe , VEEAM 和 Zoolz 。
Ryuk 還試圖阻止屬於某些傳統 AV 保護軟體的進程,其中包括 Sophos 和 Symantec System Recovery 進程。
從下面的 Demo 中可以看出,Sophos 特別受到關注,從 SentinelOne 管理控制台視圖顯示出: 
Ryuk 的嘗試對 SentinelOne 是無效的,因為它有幾個檢測層和防篡改保護。
Demo
Take away
Anti-tampering – 在 default 情況下,SentinelOne agent 會保護其服務,進程,registry entries 等。它還可以保護所有 VSS 卷影副本,因此用戶可以快速 rollback 和恢復其文件。 Ryuk 的行為模式為 SentinelOne 這樣的安全解決方案的定義了基礎的重要性,它提供深度防禦並且不受篡改的影響。並且永遠不可能禁用或減弱可靠的端點保護。 |
Categories
All
Archives
September 2020
|
RSS Feed