一个简单的恶意文件就能引发攻击链,严重影响我们日常生活所需的服务。对于关键基础设施保护 (CIP) 之外的人员来说,打击基于文件的恶意软件和保护关键基础设施所采用的技术往往是陌生的。为了深入了解阻止这种攻击方法所需的防御措施,我们将探讨犯罪分子如何利用文件来攻击网络,并深入研究全球组织用于保护关键应用程序安全的技术。
基于文件的威胁绕过单一引擎反病毒扫描
威胁可能隐藏在文件上传、文件传输、可移动媒体或电子邮件附件中。如果没有适当的控制措施来采取预防措施,这些传输方式中的任何一种都会对您的公司和环境造成重大影响。
依赖单一防病毒引擎或不使用防病毒(AV)解决方案的企业面临巨大风险。研究表明,单引擎防病毒解决方案的检测率从 40% 到 80% 不等,而仅有四个防病毒引擎就能将检测率提高到 80% 以上,30 个引擎的威胁检测率可达 99%。
文件中隐藏的恶意活动内容
文件中的活动内容可提高效率,创造更好的用户体验。例如,Excel 宏可以自动执行重复性任务,从而节省时间。文件中其他形式的活动内容包括插件、数据连接、颜色主题文件、外部图片链接、JavaScript 和嵌入式对象。
主动内容虽然有用,但网络犯罪分子可以利用它发动各种攻击。通过修改代码,他们可以在没有用户交互的情况下执行恶意软件,例如打开文档或访问网站。
如何防范基于文件的高阶威胁
提高威胁检测率Multiscanning
使用多个反病毒引擎同时扫描文件,或称多重扫描,可对所有已知恶意软件进行 83% - 99% 的检测。通过集成多个反病毒引擎,可以实现最先进的保护,防止基于文件的复杂威胁。
通过内容解除与重构功能解除所有恶意活动内容的武装
随着恶意软件变得越来越复杂,躲避传统防病毒解决方案也越来越容易。零日恶意软件可以绕过传统的基于签名的防病毒软件,而这种软件只能检测已知的恶意软件。内容解除和重构(CDR)是一种动态威胁防御技术,可以清除已知和未知的恶意软件。CDR 能有效减少潜在的有害嵌入内容,包括利用零日漏洞的恶意软件。
防止敏感数据丢失
上传和传输的文档、电子邮件和可移动媒体可能包含敏感和机密信息。这些类型的数据也是网络犯罪分子攻击和索取赎金的有利目标。数据丢失防护(DLP)是保护敏感数据、防止数据泄露和违反合规性的重要技术。
对网络流量实施网络安全内容检测
网络犯罪分子可以通过网络流量上传恶意文件,以渗透组织环境或在网络中横向移动。防止横向移动的一种方法是内容检查,这是一种基于网络的反恶意软件和数据丢失防护解决方案,可通过分析传输中的数据来识别恶意代码和敏感数据。通过将内容检测解决方案与负载平衡器或网络应用防火墙集成,企业可以即插即用,获得更全面的安全保护。
防范文件威胁的关键问题
为了防止最先进的基于文件的威胁,请提出这些问题,以审查您已采取的安全措施:
- 您有针对文件威胁的预防性安全措施吗?
- 您使用多少个杀毒引擎来扫描内容中的威胁?
- 您有应对未知恶意软件的策略吗?
- 您有保护敏感和机密数据的策略吗?
- 您是否检查通过网络传输的内容?
