|
您的客戶每天都會被惡意軟件攻擊數千次�,90% 以上檢測到的惡意軟件來自電子郵件和瀏覽器威脅載體。其中大部分為勒索軟件��;2017 年有超過 40 萬臺機器被
WannaCry 病毒感染����,僅該勒索軟件變種就造成了大約 40 億美元的潛在成本。 而現在���,加密劫持軟件數量大增����。賽門鐵克發(fā)現�,2017 年終端計算機上的
Coinminer(硬幣挖掘病毒)增加了 8,500%。
多年來�����,在抵御惡意軟件方面�����,沙盒技術是一種已證明相對有效的網絡安全解決方案�����。傳統(tǒng)的沙盒解決方案(操作系統(tǒng)級別)在一個獨立的環(huán)境中隔離�����、執(zhí)行和分析文件和程序��,以確定文件的安全性��。該傳統(tǒng)方案激活發(fā)送到沙盒的文件�����,并監(jiān)視文件系統(tǒng)活動、網絡連接���、系統(tǒng)注冊表和其他進程以探測異常行為�。僅被認為安全的文件才會發(fā)布�。
沙盒自 20 世紀 90 年代開始使用。正如我在本博客中所討論的���,同時思科也發(fā)現��,如果用戶打開受感染的文件�,宏會破壞沙盒技術�,雖然沙盒技術并非盡善盡美,但仍然是一種不錯的防御措施�����。
實際上�����,已證明沙盒可以有效屏蔽端點免受很多零日攻擊�,在零日攻擊中�,網絡犯罪分子利用軟件未檢測到的漏洞來破壞特定應用程序���、數據庫管理系統(tǒng)和操作系統(tǒng)。零日攻擊沒有已知的特征�,因此能夠躲避入侵防御系統(tǒng)和殺毒工具的檢測。
沙盒還可以有效防止對于具有高價值信息客戶來說極其危險的 APT 網絡攻擊���。APT 利用多種可執(zhí)行數天���、數周、數月或數年的攻擊技術���。APT 由幾個小事件組成�����,單獨查看時可能無害����。APT 旨在滲透系統(tǒng)�,讓網絡犯罪分子可以在很長一段時間內訪問組織的特定資產和有價值的數據。
過去�����,沙盒解決方案已被證明善于在這些威脅開始感染并破壞組織網絡之前發(fā)現并消除它們,但攻擊者狡猾又頑固�����。他們重啟自己的“繪圖板”�����,開發(fā)更新��、更復雜的零日威脅和 APT����,包括具有能夠識別其何時包含在沙盒的環(huán)境意識的惡意軟件。此類惡意軟件會一直等到離開沙盒環(huán)境外再激活和開始攻擊���。
其他攻擊者創(chuàng)建了具有“延長休眠”功能(內置休眠定時器)的惡意軟件����,這種在容器中的文件只有被標記為安全時才會激活�。這些攻擊結合了創(chuàng)新的回避技術來規(guī)避最細致嚴謹的沙盒解決方案。
為了應對這些新一輪威脅,網絡安全專家利用人工智能���、分析和啟發(fā)式方法����,并將其產品與檢測和攔截網絡解決方案集成��,改進了沙盒概念��。這些“下一代”沙盒提高了威脅分析功能����,減少了發(fā)布文件和授予訪問權限方面的人為錯誤���。
為對抗“下一代”沙盒的保護�����,網絡犯罪分子再次將技能和精力集中在創(chuàng)建能夠通過瀏覽器的“軟肋”滲透到端點的惡意軟件上���,因為隨著 Microsoft Office 365 等“軟件即服務”的激增,這種具有“軟肋”的瀏覽器被越來越多地應用到工作中���。新的惡意軟件甚至可以在未下載的情況下開始使用����。這些威脅以及瀏覽器的使用越來越多,使得沙盒效率降低����。
當用戶上網時,他們的瀏覽器甚至無需下載便可實時執(zhí)行數百萬個微型程序���。這些程序具有從網絡直接下載惡意軟件到端點上的能力����。攻擊者使用這種瀏覽器自帶的代碼來引入無文件的攻擊包和惡意軟件���,這些惡意軟件可以迅速從終端計算機傳播到服務器�����,并危及客戶的整個網絡����。
由于這些程序從未下載�����,因此它們永遠不會進入沙盒,沙盒主要針對文件包含的有害內容���,而不是應用程序��。雖然安全的網關�、URL 過濾�、防火墻、殺毒解決方案以及安全管理服務提供商們 (MSSP) 經常與這些解決方案捆綁在一起的沙盒在強大的�����、縱深防御戰(zhàn)略中發(fā)揮著至關重要的作用����,但它們根本不足以抵御目前充斥互聯網的下一代威脅�。
一種新型改進的隔離技術
遠程瀏覽器隔離是保護端點而不會給用戶造成沖突的有效方法。Gartner 表示�����,到 2022 年��,四分之一
(25%) 的企業(yè)將針對一些高風險用戶和用例采用瀏覽器隔離技術,而 2017 年這一比例還不到 1%��。事實上�,這家咨詢公司將瀏覽器隔離列為 2016 年十大技術之一。
遠程瀏覽器隔離利用基于容器的虛擬瀏覽器將網站呈現為安全的交互式可視流����,并將它們實時傳送到端點瀏覽器。
這為用戶提供了本機瀏覽體驗�,同時將所有瀏覽器可執(zhí)行代碼隔離在一個被鎖定的遠程容器中。
在每個瀏覽會話結束時�����,容器以及所有良性的��、受感染的或惡意的內容一起被銷毀��。這有效地防止了惡意軟件和瀏覽器傳播的威脅進入并通過組織的網絡傳播�。與沙盒不同,沙盒最終會釋放他們認為可安全返回端點的文件�����,但 RBI 會阻止所有網站內容(文件和瀏覽器可執(zhí)行代碼)到達端點�����。這可以更好地確保遏制復雜的威脅,例如具有環(huán)境意識的惡意軟件和帶有擴展休眠功能的惡意軟件���,這些威脅已經證明能夠瞞騙沙盒解決方案�����。
通過將瀏覽與端點設備隔離����,從而隔離組織的網絡,瀏覽網絡威脅載體被消除,并且攻擊面大大減少�����。對于尋求提升端點安全性游戲方法的 MSSP 們���,需要考慮這一點���。
Ilan Paretsky 是Ericom 軟件的首席營銷官��,負責公司的全球營銷活動�����。在 2005 年加入 Ericom 之前,Paretsky 先生在全球軟件和電信行業(yè)的營銷����、業(yè)務開發(fā)����、項目管理和軟件開發(fā)方面擔任過各種領導職務。
最初于2018年8月20日在
Channel Futures 打印
(請在上文的句子中嵌入此鏈接:https://www./security/how-isolation-helps-protect-customers-against-browser-borne-threats)
|
