采納了數(shù)字化的公司企業(yè)不僅僅更加敏捷，還大幅優(yōu)化了預(yù)算，提升了競爭力。但在整體表現(xiàn)上升的同時，這些新技術(shù)的采納，也擴大了攻擊界面，讓網(wǎng)絡(luò)罪犯可以利用來部署威脅，破壞公司整體安全狀態(tài)。

傳統(tǒng)威脅要么作為獨立應(yīng)用，在受害者機器上悄悄運行;要么破壞現(xiàn)有應(yīng)用完整性，改變它們的行為。此類威脅通常被稱為基于文件的惡意軟件，傳統(tǒng)終端防護解決方案已經(jīng)集成了磁盤文件掃描功能，可以在文件執(zhí)行之前加以阻斷。

基于文件 vs 無文件

最常見的幾種攻擊技術(shù)里，受害者可能會下載惡意程序，該惡意程序就在后臺靜默執(zhí)行，跟蹤用戶行為;或者利用主機上常見軟件的漏洞，以便可以秘密下載額外的組件，在受害者毫無所覺的情況下執(zhí)行之。

傳統(tǒng)威脅在執(zhí)行惡意代碼之前，必須將代碼寫入受害主機磁盤?；谔卣鞔a的檢測就是基于此而存在的，因為該技術(shù)可發(fā)現(xiàn)已知惡意程序，并阻止其寫入磁盤或在主機上執(zhí)行。然而，新的機制，比如加密、混淆和多態(tài)，已將傳統(tǒng)檢測技術(shù)甩在身后，因為網(wǎng)絡(luò)罪犯不僅可以操縱文件在每臺受害主機上的形態(tài)，還能讓安全掃描引擎難以分析其中代碼。

傳統(tǒng)基于文件的惡意軟件，通常用于獲取對操作系統(tǒng)及其程序的未授權(quán)訪問，往往會創(chuàng)建或釋放帶不同功能的額外文件及依賴，比如.dll、.sys或.exe文件。如果獲得了有效數(shù)字證書，此類惡意軟件還能避免觸發(fā)任何基于文件的傳統(tǒng)終端安全技術(shù)，將自身安裝成驅(qū)動程序或rootkit，獲得操作系統(tǒng)的完全控制權(quán)。個中代表，就是大名鼎鼎的震網(wǎng)病毒，滲透特定目標的同時還有長期駐留能力。該惡意軟件經(jīng)過了數(shù)字簽名，有各種模塊，能夠從一臺受害主機秘密擴散到另一臺，直至抵達最終既定目標。

在惡意代碼執(zhí)行方式和傳統(tǒng)文件掃描技術(shù)規(guī)避方式上，無文件惡意軟件與基于文件的惡意軟件完全不同。正如其名稱所顯示的，無文件惡意軟件不涉及任何磁盤文件寫入操作就能執(zhí)行。惡意代碼直接在受害計算機內(nèi)存中執(zhí)行，意味著系統(tǒng)重啟后惡意代碼就不復(fù)存在。但是，網(wǎng)絡(luò)罪犯還采用了各種技術(shù)，將無文件的能力與駐留功能結(jié)合。比如說，惡意代碼放到注冊表中，就能隨Windows重啟而啟動，既隱蔽又長久。

利用注冊表的無文件惡意軟件，還常常會使用腳本、shellcode，甚至加密二進制文件——因為傳統(tǒng)終端安全機制通常缺乏仔細檢查腳本的能力。由于傳統(tǒng)終端安全掃描工具和技術(shù)，大多專注在已知及未知惡意軟件樣本的靜態(tài)文件分析上，無文件攻擊就能在相當長的時期內(nèi)不被發(fā)現(xiàn)。

基于文件的惡意軟件和無文件惡意軟件的主要區(qū)別，在于其組件的存儲及執(zhí)行的位置和方式。由于網(wǎng)絡(luò)罪犯已能繞過文件掃描技術(shù)并保持駐留和隱秘性，無文件惡意軟件的流行度逐年上升。

投放機制

雖然兩種攻擊類型都依賴同樣的投放機制，比如被感染的電子郵件附件，或者利用瀏覽器或常用軟件漏洞的偷渡式下載;無文件惡意軟件卻往往基于腳本，且能利用現(xiàn)有合法應(yīng)用程序來執(zhí)行指令。比如說，附在惡意Word文檔中的PowerShell腳本，就能被Windows原生工具PowerShell自動執(zhí)行。其指令可以將受害系統(tǒng)的詳細信息發(fā)給攻擊者，或者下載本地傳統(tǒng)安全解決方案檢測不到的經(jīng)混淆攻擊載荷。

其他可能案例還包括惡意URL：一旦點擊，就會重定向用戶到利用Java漏洞執(zhí)行PowerShell腳本的網(wǎng)站。因為腳本本身僅僅是一系列合法指令——就算這些指令可能下載并在內(nèi)存中直接執(zhí)行二進制代碼，那也是合法指令;傳統(tǒng)文件掃描式終端安全機制就不會檢測此類威脅。

這種神出鬼沒的威脅往往針對特定組織和公司，秘密滲漏數(shù)據(jù)。

下一代終端防護平臺

下一代終端防護平臺，通常指的是將分層安全——也就是基于文件的掃描和行為監(jiān)視，與機器學習技術(shù)和威脅檢測沙箱技術(shù)結(jié)合到一起的安全解決方案。某些技術(shù)只依賴機器學習算法作為單獨一層防御。其他終端防護平臺，則使用涉及多個機器學習強化安全層的檢測技術(shù)。此類情況下，算法就集中在檢測高級復(fù)雜威脅的執(zhí)行前、執(zhí)行中和執(zhí)行后三個階段的表現(xiàn)。

當下常見的錯誤之一，是將機器學習作為能檢測任何類型威脅的獨立安全層來看待。依賴僅采用機器學習的終端防護平臺，強化不了企業(yè)的整體安全態(tài)勢。

機器學習算法是用來強化安全層的，不是要替代它們。比如說，垃圾郵件過濾，就可以通過使用機器學習模型來予以增強，對基于文件的惡意軟件的檢測，也可以使用機器學習來評估未知文件是否惡意。

考慮到新攻擊方法，強烈建議下一代終端安全平臺能抵御利用未修復(fù)已知漏洞的攻擊工具及技術(shù)，當然，已知漏洞更要能防護住。

需要指出的是，傳統(tǒng)基于特征碼的技術(shù)尚未死亡，也不應(yīng)該被拋棄。它們是很重要的一個安全層，因為它們可以快速準確地驗證文件是否惡意。特征碼、行為分析和機器學習安全層的融合，可以打造出全面的安全解決方案，不僅能夠處理已知惡意軟件，還能對付未知威脅，可大幅提升企業(yè)的整體安全態(tài)勢。這種安全技術(shù)的全面整合，不僅僅可以增加網(wǎng)絡(luò)罪犯的攻擊成本，還能讓安全團隊深入了解自家企業(yè)常被哪些類型的威脅盯上，又該怎樣準確地進行緩解。