有些網(wǎng)絡(luò)攻擊比其他攻擊更具隱蔽性。雖然許多攻擊可以通過依賴威脅特征的系統(tǒng)識別和阻止，但許多攻擊無法輕易突破組織通常設(shè)置的至少是初始防御層。而且，隨著人工智能的快速普及，威脅行為者擁有更多快速適應(yīng)檢測機(jī)制的方法。

話雖如此，我們來看看四種因能夠繞過檢測和預(yù)防系統(tǒng)而臭名昭著的網(wǎng)絡(luò)攻擊。這些威脅可能看起來很標(biāo)準(zhǔn)，而且不如其他更先進(jìn)的技術(shù)復(fù)雜，但由于它們非常擅長逃避檢測，因此它們成為組織和消費(fèi)者關(guān)注的重要原因。

網(wǎng)站克隆

網(wǎng)站克隆是品牌網(wǎng)站的偽造副本，它誘騙毫無戒心的用戶提交他們的登錄憑據(jù)或私人數(shù)據(jù)，而惡意行為者則會收集這些數(shù)據(jù)。

這些攻擊通常偽裝成合法品牌的網(wǎng)站，并使用網(wǎng)絡(luò)釣魚策略來吸引客戶，從而不被人發(fā)現(xiàn)。

有時(shí)，詐騙者甚至?xí)谟脩粼谄墼p網(wǎng)站上輸入信息后將其重定向回真實(shí)網(wǎng)站，以逃避任何懷疑，從而使檢測更加困難。

盡管網(wǎng)站克隆的嚴(yán)重性及其潛在影響，但企業(yè)往往忽視網(wǎng)站安全的重要性，而將內(nèi)部網(wǎng)絡(luò)作為優(yōu)先事項(xiàng)。他們通常只能通過客戶報(bào)告或事后威脅情報(bào)解決方案來了解網(wǎng)站被克隆的情況。然而，鑒于克隆網(wǎng)站可能導(dǎo)致數(shù)據(jù)盜竊、聲譽(yù)受損以及大量客戶流失，這種情況本不應(yīng)發(fā)生。

為了減輕此問題造成的損害，組織可以設(shè)置Google 快訊，查看最近是否有任何內(nèi)容在線發(fā)布，疑似冒充其網(wǎng)站或品牌。此外，組織還可以投資購買能夠檢測類似可疑域名的網(wǎng)站欺騙防護(hù)軟件。

這些解決方案會向品牌發(fā)出警報(bào)，但并不一定能保護(hù)其客戶免受克隆網(wǎng)站在活躍狀態(tài)下可能造成的損害?？寺【W(wǎng)站的移除過程可能需要幾天、幾周甚至幾個(gè)月的時(shí)間，才能從搜索引擎中完全移除或被托管服務(wù)提供商下線。 

為了更有效地應(yīng)對這一問題，企業(yè)應(yīng)該考慮使用實(shí)時(shí)檢測和保護(hù)工具。Memcyco是一個(gè)實(shí)時(shí)平臺，可以檢測網(wǎng)站克隆，立即向企業(yè)發(fā)出警報(bào)，提供攻擊的完整詳細(xì)信息，并通過在克隆網(wǎng)站上發(fā)出紅色警報(bào)彈出窗口，直至網(wǎng)站被關(guān)閉，防止客戶落入陷阱。

雖然目前還沒有可以防止網(wǎng)站克隆的解決方案，但組織能做的最好的事情就是盡快減輕損害。

無文件惡意軟件 

無文件惡意軟件也稱為基于內(nèi)存的惡意軟件，是一種異常軟件，甚至不需要寫入目標(biāo)設(shè)備的存儲設(shè)備。它只需要感染設(shè)備的隨機(jī)存取存儲器 (RAM) 或操縱 Windows 注冊表，這使得檢測極具挑戰(zhàn)性。它通過隱藏在系統(tǒng)中現(xiàn)有的合法進(jìn)程和工具下，從而謹(jǐn)慎地運(yùn)行。

網(wǎng)絡(luò)安全提供商Morphiesec承認(rèn)，無文件惡意軟件可以輕松逃避現(xiàn)有的檢測系統(tǒng)，包括靜態(tài)和動態(tài)分析。

白名單可以減少無文件惡意軟件感染的機(jī)會，但并非萬無一失，因?yàn)榉缸镎呖偰苷业嚼@過白名單的方法。此外，過度的白名單管理可能會損害組織的運(yùn)營靈活性。

為了應(yīng)對無文件惡意軟件，企業(yè)必須采用多種策略。這些策略包括文件或應(yīng)用程序行為分析、高級 EDR、網(wǎng)絡(luò)流量分析、權(quán)限管理、隔離和分段以及內(nèi)存分析。

此外，實(shí)施零信任策略至關(guān)重要，以確保在授予訪問權(quán)限或特權(quán)之前，每個(gè)操作、文件或應(yīng)用程序都被視為危險(xiǎn)并經(jīng)過審查。

自動移動目標(biāo)防御 (AMTD) 等預(yù)防性網(wǎng)絡(luò)安全技術(shù)也很有用，因?yàn)樗鼈兛梢栽谕{行為者設(shè)法利用攻擊路徑之前在應(yīng)用程序級別阻止攻擊路徑。

被盜憑證

通常情況下，組織需要數(shù)周甚至數(shù)月的時(shí)間才能發(fā)現(xiàn)數(shù)據(jù)泄露，包括用戶名和密碼被盜。通常只有在有人試圖使用被盜憑證登錄賬戶時(shí)，才會檢測到憑證被盜。 

預(yù)防和補(bǔ)救這個(gè)問題是完全有可能的。定期更改密碼和多因素身份驗(yàn)證等安全機(jī)制是防止網(wǎng)絡(luò)犯罪分子使用被盜登錄信息的有效方法。

此外，使用“我被黑了嗎”之類的可靠服務(wù)有助于確定違規(guī)行為是否影響了帳戶。

然而，大多數(shù)組織和個(gè)人的問題在于他們傾向于淡化憑證被盜的威脅。

即使政府機(jī)構(gòu)或銀行等私人機(jī)構(gòu)由于最近發(fā)生的特定安全事件而發(fā)布更改密碼的建議，許多人也懶得檢查他們的賬戶是否已經(jīng)被盜用。

因此，如果組織在其賬戶方面更好地遵守網(wǎng)絡(luò)安全最佳實(shí)踐，則可以減輕這種威脅的普遍性。 

多態(tài)惡意軟件

顧名思義，多態(tài)惡意軟件是指不斷改變代碼和外觀，以阻止基于簽名和基于模式的解決方案檢測到的惡意軟件。每個(gè)惡意軟件實(shí)例的外觀都不同，因此很難通過傳統(tǒng)方法識別。換句話說，這種惡意軟件會時(shí)不時(shí)地進(jìn)化或變異，這使得基于簽名的檢測甚至行為分析在某種程度上都無法有效對抗它。

生成式人工智能的興起加劇了多態(tài)惡意軟件的問題。據(jù)最近報(bào)道，ChatGPT 能夠生成能夠規(guī)避大多數(shù) EDR 解決方案的多態(tài)惡意軟件。

網(wǎng)絡(luò)安全公司 Hyas 通過創(chuàng)建 BlackMamba 證明了這種可能性，這是一個(gè)簡單的概念證明，表明可以利用大型語言模型來生成可以在運(yùn)行時(shí)動態(tài)自主更改其代碼的多態(tài)惡意軟件。

它的運(yùn)行不需要任何命令和控制基礎(chǔ)設(shè)施。

針對多態(tài)惡意軟件的解決方案包括行為分析、啟發(fā)式分析、沙盒、內(nèi)存分析、網(wǎng)絡(luò)流量分析和人工智能輔助檢測。

需要強(qiáng)調(diào)的是，利用人工智能來對抗對抗性利用人工智能至關(guān)重要。正如一篇博客文章中所言：“各組織必須保持警惕，確保安全措施與時(shí)俱進(jìn)，并通過運(yùn)用該領(lǐng)域正在進(jìn)行的前沿研究來適應(yīng)新出現(xiàn)的威脅?！?/p>

總之

毫無疑問，網(wǎng)絡(luò)安全技術(shù)和策略已經(jīng)不斷發(fā)展。然而，威脅和攻擊也隨之演變，在傳統(tǒng)的網(wǎng)絡(luò)安全實(shí)踐中，即使是檢測它們也極具挑戰(zhàn)性。令人欣慰的是，許多問題的解決方案已經(jīng)存在。

問題只是確保這些解決方案得到實(shí)施。最佳實(shí)踐，尤其是網(wǎng)絡(luò)安全教育，應(yīng)該是強(qiáng)制性的。此外，旨在應(yīng)對新興威脅的現(xiàn)代安全技術(shù)應(yīng)得到最大程度的利用，并作為每個(gè)組織安全態(tài)勢的重要組成部分。