赤豹終端安全:面對網(wǎng)絡(luò)釣魚攻擊,終端如何未雨綢繆?
2023-09-22?來源:安全資訊
近年來,網(wǎng)絡(luò)釣魚已逐漸成為勒索病毒的主要攻擊手段,令人難以防范,成為業(yè)界又一重大網(wǎng)絡(luò)安全威脅。近日,知名電子郵件安全解決方案提供商Cofense發(fā)現(xiàn)了一次專門針對美國能源公
近年來,網(wǎng)絡(luò)釣魚已逐漸成為勒索病毒的主要攻擊手段,令人難以防范,成為業(yè)界又一重大網(wǎng)絡(luò)安全威脅。近日,知名電子郵件安全解決方案提供商Cofense發(fā)現(xiàn)了一次專門針對美國能源公司的網(wǎng)絡(luò)釣魚攻擊活動,攻擊者利用二維碼將惡意電子郵件塞進收件箱并繞過安全系統(tǒng)。此次攻擊總共發(fā)送了超過1000封電子郵件,其中大約有三分之一(29%)針對一家大型美國能源公司,而其余的目標(biāo)分布于制造業(yè)(15%)、保險業(yè)(9%)、技術(shù)(7%)、和金融服務(wù)(6%)。
由于釣魚攻擊程序最終還是需要在終端系統(tǒng)落地運行,目的是攻擊終端或盜取終端數(shù)據(jù),所以如何在終端系統(tǒng)上建立有效的釣魚攻擊檢測防御機制是重中之重。
一、 傳統(tǒng)反釣魚解決方案的局限性
傳統(tǒng)的反釣魚解決方案在一定程度上的確能緩解釣魚攻擊帶來的影響,但也存在著一些局限性:
① 靜態(tài)檢測難以應(yīng)對新型攻擊
以往反釣魚檢測引擎主要依靠已知的惡意軟件特征庫和簽名來進行檢測,這種靜態(tài)檢測方法難以應(yīng)對新型和未知的釣魚攻擊,從而導(dǎo)致繞過檢測。
② 網(wǎng)絡(luò)流量檢測和防御能力不足
以往釣魚攻擊檢測通常依賴網(wǎng)絡(luò)流量的監(jiān)測和分析,但現(xiàn)代釣魚攻擊往往使用加密通信等手段來隱藏攻擊流量,難以有效檢測。且一般旁路流量檢測設(shè)備,不能聯(lián)動終端,無法對數(shù)據(jù)的傳入和傳出行為進行直接阻斷。
③ 缺乏物理設(shè)備傳輸檢測
傳統(tǒng)反釣魚主要針對終端設(shè)備的軟件層面進行檢測和響應(yīng),無法檢測到物理設(shè)備的攻擊,如惡意USB設(shè)備傳輸?shù)取?/span>
④ 不具備主動防御能力
傳統(tǒng)反釣魚主要是被動監(jiān)測和響應(yīng),一旦發(fā)現(xiàn)釣魚攻擊行為,只能通過隔離受感染的終端設(shè)備來阻止攻擊的擴散,缺乏主動防御手段。
二、江民赤豹EDR對抗釣魚攻擊的特點
為了克服傳統(tǒng)反釣魚解決方案的局限性,江民赤豹EDR解決方案通過雙引擎查殺、主動防御、網(wǎng)絡(luò)隔離、終端檢測與響應(yīng)等能力,對釣魚攻擊進行全方位的檢測與防御,注重于綜合利用關(guān)聯(lián)分析、機器學(xué)習(xí)、聯(lián)動響應(yīng)等技術(shù),以提高對未知和新型釣魚攻擊的檢測和防御能力,可以幫助組織更好地對抗網(wǎng)絡(luò)釣魚攻擊。
(1)雙引擎查殺:
采用完全自研的特征引擎+AI引擎,不僅能準(zhǔn)確檢測已知釣魚攻擊程序,還能快速檢測未知類型和新型釣魚程序,全面提高釣魚程序檢測查殺能力。
(2)快速檢測與響應(yīng):
能夠?qū)崟r檢測終端設(shè)備上的行為活動,包括文件行為、注冊表行為、網(wǎng)絡(luò)行為、文件行為、進程行為等,及時發(fā)現(xiàn)可疑的網(wǎng)絡(luò)釣魚攻擊行為,進行主動防御,做出快速的響應(yīng)阻斷動作。
(3)文件追蹤:
采用內(nèi)核級監(jiān)測技術(shù),江民赤豹EDR能夠?qū)崿F(xiàn)文件傳輸行為的全方位跟蹤,包括U盤文件傳輸、http文件傳輸、郵件傳輸、網(wǎng)絡(luò)共享傳輸以及ftp傳輸?shù)任募鬏斝袨椤?/span>
(4)網(wǎng)絡(luò)隔離:
當(dāng)檢測到網(wǎng)絡(luò)釣魚攻擊行為時,它可以立即采取響應(yīng)措施,如一鍵隔離終端、一鍵封堵端口、一鍵禁用IP等快速網(wǎng)絡(luò)隔離操作,防止攻擊的擴散。
(5)違規(guī)外聯(lián)檢測:
提供違規(guī)外聯(lián)檢測能力,可以有效檢測和防御釣魚程序的外聯(lián)行為,防止內(nèi)網(wǎng)終端數(shù)據(jù)泄露到外網(wǎng)。同時提供取證能力,將違規(guī)外聯(lián)的詳情記錄下來。
(6)與NDR聯(lián)動響應(yīng):
支持與江民赤豹NDR設(shè)備或其他流量檢測設(shè)備進行聯(lián)動響應(yīng),通過關(guān)聯(lián)分析和機器學(xué)習(xí),增強釣魚攻擊的檢測成功率和響應(yīng)能力,補充網(wǎng)絡(luò)流量釣魚攻擊檢測的不足之處。
江民赤豹EDR是一款專業(yè)的終端安全管理系統(tǒng),可以有效地對抗釣魚攻擊,能夠從源頭上保護企業(yè)和單位的終端數(shù)據(jù)安全,防止企業(yè)計算機信息被破壞、丟失、泄露。
江民赤豹終端安全團隊專注于終端安全攻防技術(shù)研究和產(chǎn)品研發(fā),開發(fā)了包括赤豹終端安全軟件、江民網(wǎng)絡(luò)版殺毒軟件、赤豹防勒索系統(tǒng)、赤豹終端安全管理系統(tǒng)、赤豹終端安全檢測與響應(yīng)系統(tǒng)等多款終端安全產(chǎn)品。赤豹終端安全團隊持續(xù)聚焦終端高級威脅防護和攻防對抗,可以幫助客戶建立面向已知和未知威脅防護以及統(tǒng)一管控、高效運維的新一代終端安全立體防護體系。
一、 傳統(tǒng)反釣魚解決方案的局限性
傳統(tǒng)的反釣魚解決方案在一定程度上的確能緩解釣魚攻擊帶來的影響,但也存在著一些局限性:
① 靜態(tài)檢測難以應(yīng)對新型攻擊
以往反釣魚檢測引擎主要依靠已知的惡意軟件特征庫和簽名來進行檢測,這種靜態(tài)檢測方法難以應(yīng)對新型和未知的釣魚攻擊,從而導(dǎo)致繞過檢測。
② 網(wǎng)絡(luò)流量檢測和防御能力不足
以往釣魚攻擊檢測通常依賴網(wǎng)絡(luò)流量的監(jiān)測和分析,但現(xiàn)代釣魚攻擊往往使用加密通信等手段來隱藏攻擊流量,難以有效檢測。且一般旁路流量檢測設(shè)備,不能聯(lián)動終端,無法對數(shù)據(jù)的傳入和傳出行為進行直接阻斷。
③ 缺乏物理設(shè)備傳輸檢測
傳統(tǒng)反釣魚主要針對終端設(shè)備的軟件層面進行檢測和響應(yīng),無法檢測到物理設(shè)備的攻擊,如惡意USB設(shè)備傳輸?shù)取?/span>
④ 不具備主動防御能力
傳統(tǒng)反釣魚主要是被動監(jiān)測和響應(yīng),一旦發(fā)現(xiàn)釣魚攻擊行為,只能通過隔離受感染的終端設(shè)備來阻止攻擊的擴散,缺乏主動防御手段。
二、江民赤豹EDR對抗釣魚攻擊的特點
為了克服傳統(tǒng)反釣魚解決方案的局限性,江民赤豹EDR解決方案通過雙引擎查殺、主動防御、網(wǎng)絡(luò)隔離、終端檢測與響應(yīng)等能力,對釣魚攻擊進行全方位的檢測與防御,注重于綜合利用關(guān)聯(lián)分析、機器學(xué)習(xí)、聯(lián)動響應(yīng)等技術(shù),以提高對未知和新型釣魚攻擊的檢測和防御能力,可以幫助組織更好地對抗網(wǎng)絡(luò)釣魚攻擊。
(1)雙引擎查殺:
采用完全自研的特征引擎+AI引擎,不僅能準(zhǔn)確檢測已知釣魚攻擊程序,還能快速檢測未知類型和新型釣魚程序,全面提高釣魚程序檢測查殺能力。
(2)快速檢測與響應(yīng):
能夠?qū)崟r檢測終端設(shè)備上的行為活動,包括文件行為、注冊表行為、網(wǎng)絡(luò)行為、文件行為、進程行為等,及時發(fā)現(xiàn)可疑的網(wǎng)絡(luò)釣魚攻擊行為,進行主動防御,做出快速的響應(yīng)阻斷動作。
(3)文件追蹤:
采用內(nèi)核級監(jiān)測技術(shù),江民赤豹EDR能夠?qū)崿F(xiàn)文件傳輸行為的全方位跟蹤,包括U盤文件傳輸、http文件傳輸、郵件傳輸、網(wǎng)絡(luò)共享傳輸以及ftp傳輸?shù)任募鬏斝袨椤?/span>
(4)網(wǎng)絡(luò)隔離:
當(dāng)檢測到網(wǎng)絡(luò)釣魚攻擊行為時,它可以立即采取響應(yīng)措施,如一鍵隔離終端、一鍵封堵端口、一鍵禁用IP等快速網(wǎng)絡(luò)隔離操作,防止攻擊的擴散。
(5)違規(guī)外聯(lián)檢測:
提供違規(guī)外聯(lián)檢測能力,可以有效檢測和防御釣魚程序的外聯(lián)行為,防止內(nèi)網(wǎng)終端數(shù)據(jù)泄露到外網(wǎng)。同時提供取證能力,將違規(guī)外聯(lián)的詳情記錄下來。
(6)與NDR聯(lián)動響應(yīng):
支持與江民赤豹NDR設(shè)備或其他流量檢測設(shè)備進行聯(lián)動響應(yīng),通過關(guān)聯(lián)分析和機器學(xué)習(xí),增強釣魚攻擊的檢測成功率和響應(yīng)能力,補充網(wǎng)絡(luò)流量釣魚攻擊檢測的不足之處。
江民赤豹終端安全團隊專注于終端安全攻防技術(shù)研究和產(chǎn)品研發(fā),開發(fā)了包括赤豹終端安全軟件、江民網(wǎng)絡(luò)版殺毒軟件、赤豹防勒索系統(tǒng)、赤豹終端安全管理系統(tǒng)、赤豹終端安全檢測與響應(yīng)系統(tǒng)等多款終端安全產(chǎn)品。赤豹終端安全團隊持續(xù)聚焦終端高級威脅防護和攻防對抗,可以幫助客戶建立面向已知和未知威脅防護以及統(tǒng)一管控、高效運維的新一代終端安全立體防護體系。
