恶意软件一般是基于信息系统漏洞发起攻击,损害信息系统所有者或使用信息系统的用户利益的软件。
恶意软件问题的主要问题包括有:恶意软件的目的是什么?恶意软件基于哪些漏洞?恶意软件攻击的路径是什么?恶意软件造成了哪些损害?如何高效分析恶意软件?如何进行科学有效的应对措施?
恶意软件按照用途分类,主要包括如下一些:
病毒,指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用,并且能够自我复制的一组计算机指令或者是程序代码。
木马,也就是指那些表面上是有用的,实际目的却是危害计算机安全,并导致严重破坏的计算机程序,具有欺骗欺诈性。
蠕虫,是指通过网络传播自身的程序,目的是在尽可能短的时间内感染尽可能多的目标,以形成一定的恶意管理或者是破坏性。
逻辑炸弹,是指在特定的事件,比如时间信息或者是某种场景特定的状态等等,以此来触发实施特定破坏行为的计算机程序。
间谍软件,是指在用户不知情的情况下,将用户的私密信息传递给控制者的程序软件。
流氓软件,是指通过强制用户安装,强制用户接受制造者提出的无理的要求,以达到制造者的实际应用目的。
勒索软件,通过新型的恶意软件,以木马方式植入到计算机并进行数据加密锁定,可能是部分文件,也可能是全部文件,以阻止用户访问重要数据,最终由制造者提出勒索要求。目前,勒索软件操作简单,攻击成功率高,支付隐秘产业链健全,已经形成了勒索软件即服务的新型问题。
恶意软件的问题,当前是从整体比例上占比较高的网络安全问题,如果不能解决其所产生的危害,则将无法保障用户最基本的网络安全需求。恶意软件是网络安全中最直接,最长期增长率相对比较高的问题之一,是信息漏洞造成的直接后果,对整个数字化经济以及互联网进一步的升级和发展将造成巨大的,潜在的威胁。
随着恶意软件在应用范围,软件形态以及多种场景下的用途发展,已经从以往的纯网络走向了现有的其他网络攻击的对象已经扩展到物联网,移动设备等。根据现有的发展趋势,未来恶意软件活动将更加深度的融合,人工智能自动拟人攻击将逐步涌现,威胁巨大。
恶意软件的治理比较复杂,从根因上分析,恶意软件目标所涉及的范围越来越广泛,而且从基础上涵盖的有人工智能,大数据分析等等,使得恶意软件越来越精准,技术应用越来越高,隐秘性也越来越高,而且结合有一些APT的手段,使得发现更难。
恶意软件通过技术的升级,已经可以通过类似免杀技术内核及感染等技术绕过现有防御机制,通过调用系统合法进程来实现恶意行为,包括我们熟知的WINDOWS系统的加密接口以及hook钩子技术等等
无法及时发现新型恶意软件是当前在改进措施中比较具备挑战性的问题(部分病毒确实存在窗口期的问题,这就给了恶意软件的生存空间和机会)。当前,防御技术中也不断在提升包括现有的edr技术,从这个层面上已逐步在进行进一步的扩展,包括xdr,adr,ddr,itdr等等
管理维度的分析上,我们的技术在不断的变革和提升,但对于内部的管理,从网络安全意识提升,攻防对抗以及应急演练,管理制度,操作指南方面没有从务实上来形成真正的改进和提升。就安全本质而言,在这个上投入也是最容易看到效果的,因为安全的重视度未达到我们预想的数值所以在整体安全综合指标上就比较低。
针对以上的问题在解决方案上思考,我们同样可以考虑从事前,事中和事后的方式来形成对整个事件的过程管控。从技术的维度,我们可以通过检测技术,分析技术,目标防御技术态势,感知技术数据,恢复技术来形成对恶意软件的有效管理。
检测技术主要是通过网络行为,用户行为,系统行为等网络空间实体的行为综合分析来获得正常的行为模型。基于此来判断是否为恶意软件,涉及到多类安全产品,下一代防火墙,上网行为,防病毒系统,终端安全管理系统,主机防护系统。对于组织单位来说,最简单的做法就是安全的基础套件 ,防火墙系统、杀毒软件和终端安全管理。
分析技术自动化的对恶意软件进行分析,在较短的时间内准确获得恶意软件的性质提取器特征码,对于企业组织而言在没有专业团队的情况下不用过多考虑,找到合适的服务团队和实用的产品是关键,毕竟术业有专攻。
目标防御技术通过不断的对信息系统的配置进行随机变化,使得信息系统对外显示多样特性,一方面减少恶意软件设计人员对信息系统漏洞分析以及应用的机会。另一方面,通过配置的多样化,使得只针对某种漏洞的恶意软件无法大规模进行传播,有效减少恶意软件的网络传播损害。这里主要是通过简要的说明提醒管理者,安全管理是必要的,当前安全也没有100%,如何有效遏制或是降低是作为我们长期安全必须考虑的课题,现在已有的安全技术和产品 已经可以在现有的安全建设基础上进行自动化验证,拟人攻击演练保障安全有效性,以及更多的发现攻击面等。
态势感知技术,对系统漏洞早期发现,对恶意软件引起的异常事件早期发现。
数据恢复技术,如果恶意软件已经入侵到系统,造成了损害,将其从系统移除,并对现有受损的系统数据进行恢复。这个过程包括自动化的响应,自主恢复,功能重构等。相关的一些应用技术。做好数据恢复关键是数据备份,数据备份 ,数据备份。重要的事情说三遍。
以上整理源于《网络空间安全问题分析与体系研究》以及互联网
【注:以上作者学习摘录,仅作为参考】
-------------------------------------------------------------
来源:安全壹壹肆 【搜索微信公众号关注】
声明:文章中部分展示图例来源于网络,版权并不属于作者
加入【安全114社区】请添加安全114小匠微信回复“安全114”
扫码免费加入星球,更近接触安全,了解安全厂商、安全市场实时动态......
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
