深信服监控到什么程度,为什么杀毒软件不管用了?有这么

hpz 5915

{{ttag.title}}
本帖最后由 hpz 于 2024-4-11 16:37 编辑

深信服监控到什么程度,为什么杀毒软件不管用了?

有这么一个真实的案例:
某公司在多期的安全建设中,陆续在端上安装了杀毒软件、HIDS等等,虽然占用了大量资源,但为了安全,公司选择“忍一忍”,结果在实战攻防演练中,一个钓鱼邮件就让该公司溃不成军,失陷不说,甚至溯源都无从下手。
以上不是个案,在实战对抗中,80%的数据来源于端,端是安全事件闭环的最后一公里。然而事实是安装了众多端点防护软件后,依然悄无声息被拿下,原因无非如下:
查不到:设备根本没产生告警。
防不住:无文件攻击盛行,病毒查杀已无法判断攻击者行径,只有失陷才知道被攻击。处置不干净:明明删除了文件,下次开机又“原地复活”让人不禁发出疑惑:为什么我的杀毒软件不管用了?是装得不够多,还是杀毒软件不够强?也许,我们该换种思路来看待这个问题了。具体如下:
高级威胁攻击的成本变低了
杀毒软件只能针对落盘文件进行检测,但在这个时代,高级威胁攻击已变成主流手段。犹记13年前肆虐网络的“熊猫烧香”病毒,始作俑者是当时的“技术天才”,初衷只是给自己找存在感;再看后来风起云涌的APT组织,神秘之余更多是为了潜伏、窃密而生,瞄准的都是足够大型的企事业单位。而如今,高级威胁攻击早已不是“专业高手”的专属。黑产灰产带来的暴利,让心怀不轨的人都趋之若鹜;被潜伏、窃密、勒索也不再只是大型企业的“独有待遇”,无差别化攻击逐渐变成一种趋势。
高级威胁攻击的招数变强了
道高一尺魔高一丈,杀毒软件的检测机制在不断优化完善,但为了达成目的,攻击者们也在不断研究新的攻击技术,以躲避和对抗安全检测机制,也就是大家熟知的“高级威胁攻击”手法。
什么是高级威胁攻击?我们用三个常见的场景来看。
场景一:
钓鱼邮件攻击入口
某公司HR收到了一封应聘者发来的邮件,点开了附件简历也没有任何异常之处,却浑然不知自己的电脑已被攻击者所控制,并且杀毒软件没有任何告警,随之而来的就是公司核心数据被加密。这是为什么?

揭秘时刻
1、免杀:杀毒软件无法检测,且放行后不再关注;
2、白利用(无文件攻击):在杀毒软件白名单内,杀毒软件无法检测到。
场景二:
横向移动
当某台PC失陷后,攻击者为获取更有价值的数据会进行横向扩散,往往悄无声息就把服务器拿下,这个过程中,为什么杀毒软件也毫无察觉?
揭秘时刻
白利用(无文件攻击):杀毒软件无法检测,且放行后不再关注。

场景三:
漏洞利用攻击入口
某公司的OA系统被爆存在漏洞,作为公司PC端的标配,攻击者利用该漏洞上传了Webshell获得了控制权进行了一系列操作,用户要么淹没在大量告警中,要么根本检测不到,期间安全软件形同虚设,毫无招架之力。
揭秘时刻
内存马(无文件攻击):采用内存马手段,在内存中写入Webshell,躲避文件检测。

通过以上场景不难看出,高级威胁攻击不是简单的“投毒”,而是有目的、有思考的攻击行为,会想方设法绕开或迷惑安全防护软件的检测。
根据Ponemon Institute统计,2020年68%的成功攻击依赖于无文件攻击技术,在这些攻击过程中,传统杀毒的检测方法都将失效。
根据WatchGuard统计,2021年第一季度,74%的恶意文件为0day文件,这意味着,传统杀毒仅能发现少数恶意文件。
在高级威胁攻势下,杀毒软件自然只能“无奈摸鱼”了。

解决该疑问,预计可以帮助到 102 人!

回帖即可获得
2S豆
,被楼主采纳即奖励20S豆+10分钟内回帖奖励10S豆 [已过期] ,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

hpz 发表于 2024-4-11 10:58
  
欢迎大侠们提出安全方面的建议
真男人 发表于 2024-4-11 11:17
  
一起来学习一起来学习
RIP·KOBE 发表于 2024-4-11 11:30
  
一起来学习一起来学习
JM 发表于 2024-4-11 11:34
  
一起来学习一起来学习
牵网线的 发表于 2024-4-11 12:53
  
一起来学习一起来学习
新手078326 发表于 2024-4-11 15:07
  

一起来学习一起来学习
李会斌 发表于 2024-4-11 15:20
  
一起学习,一起学习。。。。。。。。。。。
司马缸砸了光 发表于 2024-4-11 15:34
  
一起来学习一起来学习
新手899116 发表于 2024-4-11 15:54
  
一起来学习,一起来学习

等我来答:

换一批

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

47
14
0

发帖

粉丝

关注

62
24
2

发帖

粉丝

关注

6
2
0

发帖

粉丝

关注

本版达人