|
您的客戶每天都會(huì)被惡意軟件攻擊數(shù)千次,90% 以上檢測(cè)到的惡意軟件來(lái)自電子郵件和瀏覽器威脅載體�。其中大部分為勒索軟件;2017 年有超過(guò) 40 萬(wàn)臺(tái)機(jī)器被
WannaCry 病毒感染�,僅該勒索軟件變種就造成了大約 40 億美元的潛在成本。 而現(xiàn)在���,加密劫持軟件數(shù)量大增���。賽門鐵克發(fā)現(xiàn)����,2017 年終端計(jì)算機(jī)上的
Coinminer(硬幣挖掘病毒)增加了 8,500%�。
多年來(lái),在抵御惡意軟件方面����,沙盒技術(shù)是一種已證明相對(duì)有效的網(wǎng)絡(luò)安全解決方案。傳統(tǒng)的沙盒解決方案(操作系統(tǒng)級(jí)別)在一個(gè)獨(dú)立的環(huán)境中隔離�����、執(zhí)行和分析文件和程序����,以確定文件的安全性。該傳統(tǒng)方案激活發(fā)送到沙盒的文件����,并監(jiān)視文件系統(tǒng)活動(dòng)、網(wǎng)絡(luò)連接�、系統(tǒng)注冊(cè)表和其他進(jìn)程以探測(cè)異常行為�。僅被認(rèn)為安全的文件才會(huì)發(fā)布�。
沙盒自 20 世紀(jì) 90 年代開(kāi)始使用。正如我在本博客中所討論的���,同時(shí)思科也發(fā)現(xiàn)���,如果用戶打開(kāi)受感染的文件,宏會(huì)破壞沙盒技術(shù)����,雖然沙盒技術(shù)并非盡善盡美,但仍然是一種不錯(cuò)的防御措施���。
實(shí)際上,已證明沙盒可以有效屏蔽端點(diǎn)免受很多零日攻擊�����,在零日攻擊中��,網(wǎng)絡(luò)犯罪分子利用軟件未檢測(cè)到的漏洞來(lái)破壞特定應(yīng)用程序�����、數(shù)據(jù)庫(kù)管理系統(tǒng)和操作系統(tǒng)。零日攻擊沒(méi)有已知的特征���,因此能夠躲避入侵防御系統(tǒng)和殺毒工具的檢測(cè)����。
沙盒還可以有效防止對(duì)于具有高價(jià)值信息客戶來(lái)說(shuō)極其危險(xiǎn)的 APT 網(wǎng)絡(luò)攻擊���。APT 利用多種可執(zhí)行數(shù)天����、數(shù)周���、數(shù)月或數(shù)年的攻擊技術(shù)�����。APT 由幾個(gè)小事件組成����,單獨(dú)查看時(shí)可能無(wú)害��。APT 旨在滲透系統(tǒng),讓網(wǎng)絡(luò)犯罪分子可以在很長(zhǎng)一段時(shí)間內(nèi)訪問(wèn)組織的特定資產(chǎn)和有價(jià)值的數(shù)據(jù)���。
過(guò)去���,沙盒解決方案已被證明善于在這些威脅開(kāi)始感染并破壞組織網(wǎng)絡(luò)之前發(fā)現(xiàn)并消除它們,但攻擊者狡猾又頑固����。他們重啟自己的“繪圖板”,開(kāi)發(fā)更新�����、更復(fù)雜的零日威脅和 APT�����,包括具有能夠識(shí)別其何時(shí)包含在沙盒的環(huán)境意識(shí)的惡意軟件����。此類惡意軟件會(huì)一直等到離開(kāi)沙盒環(huán)境外再激活和開(kāi)始攻擊���。
其他攻擊者創(chuàng)建了具有“延長(zhǎng)休眠”功能(內(nèi)置休眠定時(shí)器)的惡意軟件��,這種在容器中的文件只有被標(biāo)記為安全時(shí)才會(huì)激活��。這些攻擊結(jié)合了創(chuàng)新的回避技術(shù)來(lái)規(guī)避最細(xì)致嚴(yán)謹(jǐn)的沙盒解決方案��。
為了應(yīng)對(duì)這些新一輪威脅�����,網(wǎng)絡(luò)安全專家利用人工智能���、分析和啟發(fā)式方法���,并將其產(chǎn)品與檢測(cè)和攔截網(wǎng)絡(luò)解決方案集成,改進(jìn)了沙盒概念�����。這些“下一代”沙盒提高了威脅分析功能�,減少了發(fā)布文件和授予訪問(wèn)權(quán)限方面的人為錯(cuò)誤。
為對(duì)抗“下一代”沙盒的保護(hù)��,網(wǎng)絡(luò)犯罪分子再次將技能和精力集中在創(chuàng)建能夠通過(guò)瀏覽器的“軟肋”滲透到端點(diǎn)的惡意軟件上����,因?yàn)殡S著 Microsoft Office 365 等“軟件即服務(wù)”的激增��,這種具有“軟肋”的瀏覽器被越來(lái)越多地應(yīng)用到工作中�����。新的惡意軟件甚至可以在未下載的情況下開(kāi)始使用����。這些威脅以及瀏覽器的使用越來(lái)越多���,使得沙盒效率降低��。
當(dāng)用戶上網(wǎng)時(shí)����,他們的瀏覽器甚至無(wú)需下載便可實(shí)時(shí)執(zhí)行數(shù)百萬(wàn)個(gè)微型程序�。這些程序具有從網(wǎng)絡(luò)直接下載惡意軟件到端點(diǎn)上的能力。攻擊者使用這種瀏覽器自帶的代碼來(lái)引入無(wú)文件的攻擊包和惡意軟件����,這些惡意軟件可以迅速?gòu)慕K端計(jì)算機(jī)傳播到服務(wù)器,并危及客戶的整個(gè)網(wǎng)絡(luò)��。
由于這些程序從未下載���,因此它們永遠(yuǎn)不會(huì)進(jìn)入沙盒���,沙盒主要針對(duì)文件包含的有害內(nèi)容,而不是應(yīng)用程序����。雖然安全的網(wǎng)關(guān)、URL 過(guò)濾���、防火墻�����、殺毒解決方案以及安全管理服務(wù)提供商們 (MSSP) 經(jīng)常與這些解決方案捆綁在一起的沙盒在強(qiáng)大的�����、縱深防御戰(zhàn)略中發(fā)揮著至關(guān)重要的作用�,但它們根本不足以抵御目前充斥互聯(lián)網(wǎng)的下一代威脅��。
一種新型改進(jìn)的隔離技術(shù)
遠(yuǎn)程瀏覽器隔離是保護(hù)端點(diǎn)而不會(huì)給用戶造成沖突的有效方法����。Gartner 表示����,到 2022 年�����,四分之一
(25%) 的企業(yè)將針對(duì)一些高風(fēng)險(xiǎn)用戶和用例采用瀏覽器隔離技術(shù)����,而 2017 年這一比例還不到 1%。事實(shí)上��,這家咨詢公司將瀏覽器隔離列為 2016 年十大技術(shù)之一�����。
遠(yuǎn)程瀏覽器隔離利用基于容器的虛擬瀏覽器將網(wǎng)站呈現(xiàn)為安全的交互式可視流��,并將它們實(shí)時(shí)傳送到端點(diǎn)瀏覽器���。
這為用戶提供了本機(jī)瀏覽體驗(yàn)���,同時(shí)將所有瀏覽器可執(zhí)行代碼隔離在一個(gè)被鎖定的遠(yuǎn)程容器中。
在每個(gè)瀏覽會(huì)話結(jié)束時(shí)����,容器以及所有良性的����、受感染的或惡意的內(nèi)容一起被銷毀�。這有效地防止了惡意軟件和瀏覽器傳播的威脅進(jìn)入并通過(guò)組織的網(wǎng)絡(luò)傳播����。與沙盒不同,沙盒最終會(huì)釋放他們認(rèn)為可安全返回端點(diǎn)的文件�,但 RBI 會(huì)阻止所有網(wǎng)站內(nèi)容(文件和瀏覽器可執(zhí)行代碼)到達(dá)端點(diǎn)。這可以更好地確保遏制復(fù)雜的威脅�,例如具有環(huán)境意識(shí)的惡意軟件和帶有擴(kuò)展休眠功能的惡意軟件,這些威脅已經(jīng)證明能夠瞞騙沙盒解決方案��。
通過(guò)將瀏覽與端點(diǎn)設(shè)備隔離��,從而隔離組織的網(wǎng)絡(luò)�,瀏覽網(wǎng)絡(luò)威脅載體被消除,并且攻擊面大大減少�����。對(duì)于尋求提升端點(diǎn)安全性游戲方法的 MSSP 們�����,需要考慮這一點(diǎn)。
Ilan Paretsky 是Ericom 軟件的首席營(yíng)銷官���,負(fù)責(zé)公司的全球營(yíng)銷活動(dòng)�����。在 2005 年加入 Ericom 之前��,Paretsky 先生在全球軟件和電信行業(yè)的營(yíng)銷��、業(yè)務(wù)開(kāi)發(fā)�、項(xiàng)目管理和軟件開(kāi)發(fā)方面擔(dān)任過(guò)各種領(lǐng)導(dǎo)職務(wù)��。
最初于2018年8月20日在
Channel Futures 打印
(請(qǐng)?jiān)谏衔牡木渥又星度氪随溄樱?/span>https://www./security/how-isolation-helps-protect-customers-against-browser-borne-threats)
|
