|
您的客戶每天都會被惡意軟件攻擊數(shù)千次�����,90% 以上檢測到的惡意軟件來自電子郵件和瀏覽器威脅載體。其中大部分為勒索軟件�;2017 年有超過 40 萬臺機(jī)器被
WannaCry 病毒感染,僅該勒索軟件變種就造成了大約 40 億美元的潛在成本��。 而現(xiàn)在����,加密劫持軟件數(shù)量大增。賽門鐵克發(fā)現(xiàn)�����,2017 年終端計算機(jī)上的
Coinminer(硬幣挖掘病毒)增加了 8,500%�����。
多年來�����,在抵御惡意軟件方面����,沙盒技術(shù)是一種已證明相對有效的網(wǎng)絡(luò)安全解決方案����。傳統(tǒng)的沙盒解決方案(操作系統(tǒng)級別)在一個獨(dú)立的環(huán)境中隔離����、執(zhí)行和分析文件和程序,以確定文件的安全性�����。該傳統(tǒng)方案激活發(fā)送到沙盒的文件�,并監(jiān)視文件系統(tǒng)活動、網(wǎng)絡(luò)連接�����、系統(tǒng)注冊表和其他進(jìn)程以探測異常行為���。僅被認(rèn)為安全的文件才會發(fā)布�。
沙盒自 20 世紀(jì) 90 年代開始使用����。正如我在本博客中所討論的����,同時思科也發(fā)現(xiàn)���,如果用戶打開受感染的文件,宏會破壞沙盒技術(shù)���,雖然沙盒技術(shù)并非盡善盡美��,但仍然是一種不錯的防御措施��。
實(shí)際上�,已證明沙盒可以有效屏蔽端點(diǎn)免受很多零日攻擊����,在零日攻擊中,網(wǎng)絡(luò)犯罪分子利用軟件未檢測到的漏洞來破壞特定應(yīng)用程序�����、數(shù)據(jù)庫管理系統(tǒng)和操作系統(tǒng)�����。零日攻擊沒有已知的特征,因此能夠躲避入侵防御系統(tǒng)和殺毒工具的檢測��。
沙盒還可以有效防止對于具有高價值信息客戶來說極其危險的 APT 網(wǎng)絡(luò)攻擊�。APT 利用多種可執(zhí)行數(shù)天、數(shù)周�、數(shù)月或數(shù)年的攻擊技術(shù)。APT 由幾個小事件組成�����,單獨(dú)查看時可能無害����。APT 旨在滲透系統(tǒng),讓網(wǎng)絡(luò)犯罪分子可以在很長一段時間內(nèi)訪問組織的特定資產(chǎn)和有價值的數(shù)據(jù)�����。
過去����,沙盒解決方案已被證明善于在這些威脅開始感染并破壞組織網(wǎng)絡(luò)之前發(fā)現(xiàn)并消除它們,但攻擊者狡猾又頑固�����。他們重啟自己的“繪圖板”,開發(fā)更新�、更復(fù)雜的零日威脅和 APT,包括具有能夠識別其何時包含在沙盒的環(huán)境意識的惡意軟件��。此類惡意軟件會一直等到離開沙盒環(huán)境外再激活和開始攻擊�。
其他攻擊者創(chuàng)建了具有“延長休眠”功能(內(nèi)置休眠定時器)的惡意軟件,這種在容器中的文件只有被標(biāo)記為安全時才會激活����。這些攻擊結(jié)合了創(chuàng)新的回避技術(shù)來規(guī)避最細(xì)致嚴(yán)謹(jǐn)的沙盒解決方案��。
為了應(yīng)對這些新一輪威脅����,網(wǎng)絡(luò)安全專家利用人工智能、分析和啟發(fā)式方法��,并將其產(chǎn)品與檢測和攔截網(wǎng)絡(luò)解決方案集成�����,改進(jìn)了沙盒概念�����。這些“下一代”沙盒提高了威脅分析功能,減少了發(fā)布文件和授予訪問權(quán)限方面的人為錯誤��。
為對抗“下一代”沙盒的保護(hù)�����,網(wǎng)絡(luò)犯罪分子再次將技能和精力集中在創(chuàng)建能夠通過瀏覽器的“軟肋”滲透到端點(diǎn)的惡意軟件上���,因?yàn)殡S著 Microsoft Office 365 等“軟件即服務(wù)”的激增�,這種具有“軟肋”的瀏覽器被越來越多地應(yīng)用到工作中���。新的惡意軟件甚至可以在未下載的情況下開始使用�����。這些威脅以及瀏覽器的使用越來越多��,使得沙盒效率降低����。
當(dāng)用戶上網(wǎng)時��,他們的瀏覽器甚至無需下載便可實(shí)時執(zhí)行數(shù)百萬個微型程序。這些程序具有從網(wǎng)絡(luò)直接下載惡意軟件到端點(diǎn)上的能力��。攻擊者使用這種瀏覽器自帶的代碼來引入無文件的攻擊包和惡意軟件�����,這些惡意軟件可以迅速從終端計算機(jī)傳播到服務(wù)器��,并危及客戶的整個網(wǎng)絡(luò)���。
由于這些程序從未下載�,因此它們永遠(yuǎn)不會進(jìn)入沙盒���,沙盒主要針對文件包含的有害內(nèi)容,而不是應(yīng)用程序���。雖然安全的網(wǎng)關(guān)����、URL 過濾���、防火墻��、殺毒解決方案以及安全管理服務(wù)提供商們 (MSSP) 經(jīng)常與這些解決方案捆綁在一起的沙盒在強(qiáng)大的�、縱深防御戰(zhàn)略中發(fā)揮著至關(guān)重要的作用,但它們根本不足以抵御目前充斥互聯(lián)網(wǎng)的下一代威脅�。
一種新型改進(jìn)的隔離技術(shù)
遠(yuǎn)程瀏覽器隔離是保護(hù)端點(diǎn)而不會給用戶造成沖突的有效方法。Gartner 表示����,到 2022 年,四分之一
(25%) 的企業(yè)將針對一些高風(fēng)險用戶和用例采用瀏覽器隔離技術(shù)��,而 2017 年這一比例還不到 1%��。事實(shí)上��,這家咨詢公司將瀏覽器隔離列為 2016 年十大技術(shù)之一�����。
遠(yuǎn)程瀏覽器隔離利用基于容器的虛擬瀏覽器將網(wǎng)站呈現(xiàn)為安全的交互式可視流�����,并將它們實(shí)時傳送到端點(diǎn)瀏覽器�����。
這為用戶提供了本機(jī)瀏覽體驗(yàn),同時將所有瀏覽器可執(zhí)行代碼隔離在一個被鎖定的遠(yuǎn)程容器中�����。
在每個瀏覽會話結(jié)束時�,容器以及所有良性的、受感染的或惡意的內(nèi)容一起被銷毀�。這有效地防止了惡意軟件和瀏覽器傳播的威脅進(jìn)入并通過組織的網(wǎng)絡(luò)傳播。與沙盒不同���,沙盒最終會釋放他們認(rèn)為可安全返回端點(diǎn)的文件��,但 RBI 會阻止所有網(wǎng)站內(nèi)容(文件和瀏覽器可執(zhí)行代碼)到達(dá)端點(diǎn)�。這可以更好地確保遏制復(fù)雜的威脅����,例如具有環(huán)境意識的惡意軟件和帶有擴(kuò)展休眠功能的惡意軟件,這些威脅已經(jīng)證明能夠瞞騙沙盒解決方案����。
通過將瀏覽與端點(diǎn)設(shè)備隔離��,從而隔離組織的網(wǎng)絡(luò)���,瀏覽網(wǎng)絡(luò)威脅載體被消除�,并且攻擊面大大減少。對于尋求提升端點(diǎn)安全性游戲方法的 MSSP 們���,需要考慮這一點(diǎn)�����。
Ilan Paretsky 是Ericom 軟件的首席營銷官�,負(fù)責(zé)公司的全球營銷活動����。在 2005 年加入 Ericom 之前,Paretsky 先生在全球軟件和電信行業(yè)的營銷����、業(yè)務(wù)開發(fā)、項(xiàng)目管理和軟件開發(fā)方面擔(dān)任過各種領(lǐng)導(dǎo)職務(wù)����。
最初于2018年8月20日在
Channel Futures 打印
(請在上文的句子中嵌入此鏈接:https://www./security/how-isolation-helps-protect-customers-against-browser-borne-threats)
|
