随着互联网的不断发展,网络安全防御的重要性也越发被企业所关注,下面就和成都网络安全工程师一起来了解一下,都有哪些影响网络安全的行为。
1.沙箱逃逸
下一代终端防护平台的一个常见功能就是沙箱——在安全虚拟环境中触发未知恶意软件。在恶意软件频繁变身以躲过特征码检测的时代,这种技术对防御者而言非常有用。
但这种防护如今也很容易被黑客绕开。黑客可以将恶意软件编写成只在沙箱外才激活恶意行为。比如说,只在与真人互动时才会激活,或者在满足其他条件时才触发恶意行为。
延时是常见的手法。恶意软件可能等待数小时、数天,乃至数周才激活,在攻击载荷被触发之前尽可能广泛地感染网络。又或者,恶意软件可以直接检查自身是否运行在虚拟机环境中。
2.未修复的漏洞
美国国家安全局(NSA)开发的“永恒之蓝”安全工具在2017年7月被泄露到了网上。自此,永恒之蓝被用到了多起重大网络攻击中,包括针对英国医疗系统的攻击,联邦快递所遭4亿美元的攻击,默克公司6.7亿美元攻击等等——尽管微软已经快速发布了补丁。
直到近还陆续有永恒之蓝的受害者出现。巴尔地摩市遭受的勒索软件攻击据称就用到了永恒之蓝漏洞。且巴尔地摩还不是个案。安全公司ESET报告称,自2017年起,涉永恒之蓝的攻击数量一直在上升,在今年春天达到了历史峰值。全球超过100万台主机仍在使用存在漏洞的过时SMBv1协议,其中有40万台都在美国。
波耐蒙研究所表示,65%的公司企业认为保持更新很难或极端困难。
3.拿下安全代理
今年4月,AbsoluteSecurity发布了其针对全球600万台设备为期一年的研究报告《2019终端安全趋势》。报告显示,每台设备上平均装有十个安全代理。终端防护措施不可谓不丰富了。但数量并不能保证有效性。先,代理之间互有重叠,还会相互抵触和干扰。随时都有7%的终端缺乏防护,21%的终端装有过时的系统。
即便安装了终端防护安全,且防护有效,保持更新,一旦攻击者建立了立足点,比如通过利用永恒之蓝漏洞,他们也有很多种方法可以关闭终端防护服务。运用PowerShell之类已有合法应用就是方法之一。
攻击者还可以针对终端安全代理发起拒绝服务攻击,让代理过载而无法继续提供防护功能,或者利用未能恰当配置的安全代理。然后,攻击者就可以修改注册表以提升权限,在安全代理恢复时凌驾于终端防护服务之上。
抵御此类攻击的方法是通过持续修复来打造更严格的权限层级。
(责任编辑:范老师)