江苏龙网

  1. 首页 > 资讯 > 科技 > >

FreeBuf|CrowdStrike | 无文件攻击白皮书( 四 )


此外 , 在无文件攻击的情况下 , 恶意代码可以利用诸如PowerShell之类的合法脚本语言 , 而无需写入磁盘 。 正如我们所看到的 , 这对于基于签名的方法、白名单、沙箱甚至机器学习来说都是一个挑战 。 相比之下 , IOA检测恶意软件或攻击完成其任务所必须执行的事件序列 。 这可以暴露最隐秘的无文件方法 , 因此它们可以被迅速处理 。
最后 , 由于IOA会查看意图、上下文、活动序列 , 因此即使恶意活动是使用合法帐户实施的 , 也可以检测和阻止这些活动 , 攻击者使用窃取的凭据时通常会出现这种情况 。
所有这些使得IOA成为防止无文件恶意软件攻击的突破口 。 IOA不再基于磁盘上可执行文件的存在与否 , 来开展无文件攻击这场徒劳的战斗 , 而是在造成任何损害之前监视、检测、阻止此类攻击的影响 。
07 托管狩猎托管狩猎(Managed Hunt)是针对文件攻击的另一种独特而有效的防御措施 。 Falcon OverWatch(猎鹰看守)是Falcon平台的威胁搜索组件 , 它提供了一个额外的保护层 , 来抵御无文件攻击 。
利用Falcon平台的强大功能 , OverWatch(看守)团队全天候主动狩猎威胁 , 监控客户的环境 , 并狩猎那些标准安全技术无法检测到但可能表明正在发生攻击的狡猾活动 。 Falcon OverWatch确保即使是最复杂和最隐蔽的攻击 , 也能在发生时被发现 。 它通过狩猎和识别难以检测的、复杂的、尖端的攻击 , 生成有意义的警报和精确的指导性补救建议 , 从而提高您对抗无文件技术的效率 。
08 结论由于漏洞利用工具包的存在 , 导致了攻击组合的高效性和易创建性 , 很可能会提高无文件黑客技术的普及率 。 不幸的是 , 鉴于传统杀毒软件无法阻止无文件攻击 , 犯罪黑客越来越可能将注意力集中在这些隐形技术上 。 因此 , 安全专家需要在他们的安全策略中 , 考虑无文件恶意软件和无文件攻击的存在 。
正如本文所解释的那样 , 传统的安全措施在面对无文件攻击时可能不够有效 , 需要新的保护方法 。 CrowdStrike Falcon(猎鹰平台)提供了一种全面的解决方案 , 不仅可以防御无文件攻击 , 而且还可以很好地防御已知和未知的恶意软件威胁 。
09 关于CrowdStrikeCrowdStrike是云交付的下一代端点保护的领导者 。 CrowdStrike Falcon平台在整个企业范围内提供即时可视性和保护 , 并防止对网络内外端点的攻击 。 CrowdStrike Falcon可以在几分钟内部署 , 立即提供可操作性情报和实时保护 。 Falcon将下一代AV与最佳端点检测和响应技术无缝结合 , 并支持全天候的托管狩猎 。
它的云基础设施和单代理架构消除了复杂性 , 增加了可扩展性、可管理性、速度 。 CrowdStrike Falcon利用精妙的无签名人工智能/机器学习和基于攻击指标(IOA)的威胁预防 , 来保护客户免受所有类型的网络攻击 , 实时阻止已知和未知的威胁 。 通过CrowdStrike Threat Graph(威胁图)赋能 , Falcon立即关联来自全球的400亿个安全事件 , 以立即预防和检测威胁 。
(本节为笔者增补内容 , 不属于白皮书内容)
1)端点保护平台(EPP)
在《2019年端点保护平台(EPP)魔力象限》中 , CrowdStrike占据领导者地位 , 而且处于“愿景完整性”横轴最前沿的位置 。 如下图所示:
FreeBuf|CrowdStrike | 无文件攻击白皮书
本文插图

图1-端点保护平台(EPP)的魔力象限
CrowdStrike将自身定位为云交付的下一代端点保护的领导者 。 CrowdStrike是第一家也是唯一一家统一了下一代防病毒、端点检测和响应(EDR)、IT卫生、漏洞评估、全天候托管狩猎服务的公司——全部通过一个轻量级代理提供 , 彻底革新了端点保护 。 CrowdStrike的端点保护平台(EPP)如下图所示:
FreeBuf|CrowdStrike | 无文件攻击白皮书


推荐阅读


上一篇:互联网|进口订单清关破1000万 菜鸟进口物流创新纪录

下一篇:夜色无痕生活分享|微信支付宝明明有密码,超市扫码枪为何能将钱扫走?别说没告诉你