目录:
视频: æ©å®¢ç½æ¯è·è·å¤§å¥èµï¼åéé«éå ¬è·¯ (十一月 2024)
新型恶意软件“隐形恶意软件”正在行军中,如果它袭击了您的服务器,您可能无能为力。 实际上,您甚至可能无法说出它的存在。 在某些情况下,看不见的恶意软件仅存在于内存中,这意味着磁盘上没有文件可供端点保护软件查找。 在其他情况下,看不见的恶意软件可能生活在您的基本输入/输出系统(BIOS)中,在其中可以使用一些策略之一来攻击您。 在某些情况下,它甚至可能以固件更新的形式出现,在该固件更新中,它会用被感染且几乎无法找到或删除的版本替换现有固件。
EDR软件比传统的AV软件包更先进,在捕获攻击方面更为有效,并且该软件使用多种方法来确定攻击者何时工作。 奈特说:“ EDR的发展使黑帽能够做出反应,并创建内核根工具包和固件根工具包,并在硬件中将其写入主引导记录。”
它还导致了虚拟根套件的创建,该套件将在操作系统(OS)之前启动,为恶意软件创建一个虚拟机(VM),以使OS上运行的软件无法检测到它。 她说:“这几乎使我们无法抓住。”
蓝丸恶意软件及更多
幸运的是,将虚拟根工具包安装到服务器上仍然很困难-在某种程度上,尝试该工具的攻击者通常是国家赞助的攻击者。 此外,至少可以检测到一些活动,可以停止一些活动。 奈特说,仅在内存中运行的“无文件恶意软件”可以通过强行关闭正在运行的计算机来消除。
但Knight还说,此类恶意软件可能伴随着所谓的“ Blue Pill恶意软件”,这是一种虚拟根工具包,可将自身加载到VM中,然后将OS加载到VM中。 这样一来,它就可以伪造关机并重新启动,同时让恶意软件继续运行。 这就是为什么您不能仅在Microsoft Windows 10中使用关闭选项的原因。 只有拔下插头才能工作。
幸运的是,有时可以在进行其他类型的硬件攻击时将其检测到。 奈特说,一个公司SentinelOne创建了一个比大多数公司更有效的EDR软件包,并且有时可以检测到恶意软件何时攻击了计算机上的BIOS或固件。
克里斯·贝茨(Chris Bates)是SentinelOne产品架构的全球总监。 他说,该产品的代理可以自主运行,并且可以在需要时将信息与其他端点合并。 贝茨说:“每个SentinelOne代理都在构建上下文。” 他说,上下文和构建上下文时发生的事件会创建可用于检测恶意软件操作的故事。
贝茨说,每个端点都可以通过消除恶意软件或将其隔离来自行进行补救。 但是贝茨还说,他的EDR软件包无法捕获所有内容,尤其是当它发生在操作系统外部时。 一个USB拇指驱动器可以在计算机启动之前重写BIOS,这是一个示例。
下一级别的准备
奈特解释说,这就是下一个准备阶段的地方。 她指出了英特尔与洛克希德·马丁公司之间的一个联合项目,该项目创建了一个在第二代标准英特尔至强可扩展处理器上运行的强化安全解决方案,称为“洛克希德·马丁公司针对强化安全性的英特尔精选解决方案”。 此新解决方案旨在通过隔离关键资源并保护这些资源来防止恶意软件感染。
同时,英特尔还宣布了另一套名为“ Hardware Shield”的硬件预防措施,该措施可锁定BIOS。 英特尔公司副总裁兼业务客户端平台总经理斯蒂芬妮·哈尔福德解释说:“如果有某种形式的恶意代码注入,BIOS就会做出响应。 “某些版本将具有在操作系统和BIOS之间进行通信的能力。操作系统还可以响应并防御攻击。”
不幸的是,您不能做很多事情来保护现有机器。 奈特说:“您需要更换关键服务器。”此外,您还需要确定关键数据是什么以及在何处运行。
奈特说:“英特尔和AMD将需要加倍努力并使之民主化。” “随着恶意软件编写者的进步,硬件供应商将需要赶上并使其负担得起。”
问题只会恶化
不幸的是,奈特说问题只会越来越严重。 她说:“犯罪工具包和恶意软件工具包将变得更加容易。”
奈特补充说,大多数公司避免该问题的唯一方法是将关键数据和流程移至云中,这仅仅是因为云服务提供商可以更好地抵御这种硬件攻击。 她说:“现在是转移风险的时候了。”
奈特警告说,随着事情的发展,没有时间保护您的关键数据了。 她预测说:“这将变成蠕虫。” “它将变成某种自我传播的蠕虫。” 奈特说,这是网络战争的未来。 它永远不会永远属于国家赞助的演员。
采取的步骤
那么,面对未来的黯淡,您现在该怎么办? 这是您应立即采取的一些初始步骤:
-
- 2019年最佳防病毒保护2019年最佳防病毒保护
- 2019年最佳托管端点保护和安全软件2019年最佳托管端点保护和安全软件
- 适用于2019的最佳恶意软件删除和保护软件适用于2019的最佳恶意软件删除和保护软件
继续对您的员工进行良好的安全卫生培训,以免他们将被感染的拇指驱动器插入您的一台服务器。
如果您还没有有效的EDR软件(例如SentinelOne),请立即购买。
识别关键数据,并在将数据所在的服务器升级到受硬件漏洞保护的计算机以及利用这些漏洞的漏洞的过程中,通过加密进行保护。
在必须将关键数据保留在内部的地方,将包含该数据的服务器替换为使用硬件技术的平台,例如客户端的Hardware Shield和服务器的LockSelected Martin增强安全性的Intel Select解决方案。
尽可能将关键数据移动到具有受保护处理器的云提供商。
确保物理安全性足以保护网络中的服务器和其他终结点。 如果所有这些使您觉得安全是一场军备竞赛,那么您将是正确的。
