赤豹終端安全:面對(duì)網(wǎng)絡(luò)釣魚(yú)攻擊,終端如何未雨綢繆?
2023-09-22?來(lái)源:安全資訊
近年來(lái),網(wǎng)絡(luò)釣魚(yú)已逐漸成為勒索病毒的主要攻擊手段,令人難以防范,成為業(yè)界又一重大網(wǎng)絡(luò)安全威脅。近日,知名電子郵件安全解決方案提供商Cofense發(fā)現(xiàn)了一次專門針對(duì)美國(guó)能源公
近年來(lái),網(wǎng)絡(luò)釣魚(yú)已逐漸成為勒索病毒的主要攻擊手段,令人難以防范,成為業(yè)界又一重大網(wǎng)絡(luò)安全威脅。近日,知名電子郵件安全解決方案提供商Cofense發(fā)現(xiàn)了一次專門針對(duì)美國(guó)能源公司的網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng),攻擊者利用二維碼將惡意電子郵件塞進(jìn)收件箱并繞過(guò)安全系統(tǒng)。此次攻擊總共發(fā)送了超過(guò)1000封電子郵件,其中大約有三分之一(29%)針對(duì)一家大型美國(guó)能源公司,而其余的目標(biāo)分布于制造業(yè)(15%)、保險(xiǎn)業(yè)(9%)、技術(shù)(7%)、和金融服務(wù)(6%)。
由于釣魚(yú)攻擊程序最終還是需要在終端系統(tǒng)落地運(yùn)行,目的是攻擊終端或盜取終端數(shù)據(jù),所以如何在終端系統(tǒng)上建立有效的釣魚(yú)攻擊檢測(cè)防御機(jī)制是重中之重。
一、 傳統(tǒng)反釣魚(yú)解決方案的局限性
傳統(tǒng)的反釣魚(yú)解決方案在一定程度上的確能緩解釣魚(yú)攻擊帶來(lái)的影響,但也存在著一些局限性:
① 靜態(tài)檢測(cè)難以應(yīng)對(duì)新型攻擊
以往反釣魚(yú)檢測(cè)引擎主要依靠已知的惡意軟件特征庫(kù)和簽名來(lái)進(jìn)行檢測(cè),這種靜態(tài)檢測(cè)方法難以應(yīng)對(duì)新型和未知的釣魚(yú)攻擊,從而導(dǎo)致繞過(guò)檢測(cè)。
② 網(wǎng)絡(luò)流量檢測(cè)和防御能力不足
以往釣魚(yú)攻擊檢測(cè)通常依賴網(wǎng)絡(luò)流量的監(jiān)測(cè)和分析,但現(xiàn)代釣魚(yú)攻擊往往使用加密通信等手段來(lái)隱藏攻擊流量,難以有效檢測(cè)。且一般旁路流量檢測(cè)設(shè)備,不能聯(lián)動(dòng)終端,無(wú)法對(duì)數(shù)據(jù)的傳入和傳出行為進(jìn)行直接阻斷。
③ 缺乏物理設(shè)備傳輸檢測(cè)
傳統(tǒng)反釣魚(yú)主要針對(duì)終端設(shè)備的軟件層面進(jìn)行檢測(cè)和響應(yīng),無(wú)法檢測(cè)到物理設(shè)備的攻擊,如惡意USB設(shè)備傳輸?shù)取?/span>
④ 不具備主動(dòng)防御能力
傳統(tǒng)反釣魚(yú)主要是被動(dòng)監(jiān)測(cè)和響應(yīng),一旦發(fā)現(xiàn)釣魚(yú)攻擊行為,只能通過(guò)隔離受感染的終端設(shè)備來(lái)阻止攻擊的擴(kuò)散,缺乏主動(dòng)防御手段。
二、江民赤豹EDR對(duì)抗釣魚(yú)攻擊的特點(diǎn)
為了克服傳統(tǒng)反釣魚(yú)解決方案的局限性,江民赤豹EDR解決方案通過(guò)雙引擎查殺、主動(dòng)防御、網(wǎng)絡(luò)隔離、終端檢測(cè)與響應(yīng)等能力,對(duì)釣魚(yú)攻擊進(jìn)行全方位的檢測(cè)與防御,注重于綜合利用關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、聯(lián)動(dòng)響應(yīng)等技術(shù),以提高對(duì)未知和新型釣魚(yú)攻擊的檢測(cè)和防御能力,可以幫助組織更好地對(duì)抗網(wǎng)絡(luò)釣魚(yú)攻擊。
(1)雙引擎查殺:
采用完全自研的特征引擎+AI引擎,不僅能準(zhǔn)確檢測(cè)已知釣魚(yú)攻擊程序,還能快速檢測(cè)未知類型和新型釣魚(yú)程序,全面提高釣魚(yú)程序檢測(cè)查殺能力。
(2)快速檢測(cè)與響應(yīng):
能夠?qū)崟r(shí)檢測(cè)終端設(shè)備上的行為活動(dòng),包括文件行為、注冊(cè)表行為、網(wǎng)絡(luò)行為、文件行為、進(jìn)程行為等,及時(shí)發(fā)現(xiàn)可疑的網(wǎng)絡(luò)釣魚(yú)攻擊行為,進(jìn)行主動(dòng)防御,做出快速的響應(yīng)阻斷動(dòng)作。
(3)文件追蹤:
采用內(nèi)核級(jí)監(jiān)測(cè)技術(shù),江民赤豹EDR能夠?qū)崿F(xiàn)文件傳輸行為的全方位跟蹤,包括U盤(pán)文件傳輸、http文件傳輸、郵件傳輸、網(wǎng)絡(luò)共享傳輸以及ftp傳輸?shù)任募鬏斝袨椤?/span>
(4)網(wǎng)絡(luò)隔離:
當(dāng)檢測(cè)到網(wǎng)絡(luò)釣魚(yú)攻擊行為時(shí),它可以立即采取響應(yīng)措施,如一鍵隔離終端、一鍵封堵端口、一鍵禁用IP等快速網(wǎng)絡(luò)隔離操作,防止攻擊的擴(kuò)散。
(5)違規(guī)外聯(lián)檢測(cè):
提供違規(guī)外聯(lián)檢測(cè)能力,可以有效檢測(cè)和防御釣魚(yú)程序的外聯(lián)行為,防止內(nèi)網(wǎng)終端數(shù)據(jù)泄露到外網(wǎng)。同時(shí)提供取證能力,將違規(guī)外聯(lián)的詳情記錄下來(lái)。
(6)與NDR聯(lián)動(dòng)響應(yīng):
支持與江民赤豹NDR設(shè)備或其他流量檢測(cè)設(shè)備進(jìn)行聯(lián)動(dòng)響應(yīng),通過(guò)關(guān)聯(lián)分析和機(jī)器學(xué)習(xí),增強(qiáng)釣魚(yú)攻擊的檢測(cè)成功率和響應(yīng)能力,補(bǔ)充網(wǎng)絡(luò)流量釣魚(yú)攻擊檢測(cè)的不足之處。
江民赤豹EDR是一款專業(yè)的終端安全管理系統(tǒng),可以有效地對(duì)抗釣魚(yú)攻擊,能夠從源頭上保護(hù)企業(yè)和單位的終端數(shù)據(jù)安全,防止企業(yè)計(jì)算機(jī)信息被破壞、丟失、泄露。
江民赤豹終端安全團(tuán)隊(duì)專注于終端安全攻防技術(shù)研究和產(chǎn)品研發(fā),開(kāi)發(fā)了包括赤豹終端安全軟件、江民網(wǎng)絡(luò)版殺毒軟件、赤豹防勒索系統(tǒng)、赤豹終端安全管理系統(tǒng)、赤豹終端安全檢測(cè)與響應(yīng)系統(tǒng)等多款終端安全產(chǎn)品。赤豹終端安全團(tuán)隊(duì)持續(xù)聚焦終端高級(jí)威脅防護(hù)和攻防對(duì)抗,可以幫助客戶建立面向已知和未知威脅防護(hù)以及統(tǒng)一管控、高效運(yùn)維的新一代終端安全立體防護(hù)體系。
一、 傳統(tǒng)反釣魚(yú)解決方案的局限性
傳統(tǒng)的反釣魚(yú)解決方案在一定程度上的確能緩解釣魚(yú)攻擊帶來(lái)的影響,但也存在著一些局限性:
① 靜態(tài)檢測(cè)難以應(yīng)對(duì)新型攻擊
以往反釣魚(yú)檢測(cè)引擎主要依靠已知的惡意軟件特征庫(kù)和簽名來(lái)進(jìn)行檢測(cè),這種靜態(tài)檢測(cè)方法難以應(yīng)對(duì)新型和未知的釣魚(yú)攻擊,從而導(dǎo)致繞過(guò)檢測(cè)。
② 網(wǎng)絡(luò)流量檢測(cè)和防御能力不足
以往釣魚(yú)攻擊檢測(cè)通常依賴網(wǎng)絡(luò)流量的監(jiān)測(cè)和分析,但現(xiàn)代釣魚(yú)攻擊往往使用加密通信等手段來(lái)隱藏攻擊流量,難以有效檢測(cè)。且一般旁路流量檢測(cè)設(shè)備,不能聯(lián)動(dòng)終端,無(wú)法對(duì)數(shù)據(jù)的傳入和傳出行為進(jìn)行直接阻斷。
③ 缺乏物理設(shè)備傳輸檢測(cè)
傳統(tǒng)反釣魚(yú)主要針對(duì)終端設(shè)備的軟件層面進(jìn)行檢測(cè)和響應(yīng),無(wú)法檢測(cè)到物理設(shè)備的攻擊,如惡意USB設(shè)備傳輸?shù)取?/span>
④ 不具備主動(dòng)防御能力
傳統(tǒng)反釣魚(yú)主要是被動(dòng)監(jiān)測(cè)和響應(yīng),一旦發(fā)現(xiàn)釣魚(yú)攻擊行為,只能通過(guò)隔離受感染的終端設(shè)備來(lái)阻止攻擊的擴(kuò)散,缺乏主動(dòng)防御手段。
二、江民赤豹EDR對(duì)抗釣魚(yú)攻擊的特點(diǎn)
為了克服傳統(tǒng)反釣魚(yú)解決方案的局限性,江民赤豹EDR解決方案通過(guò)雙引擎查殺、主動(dòng)防御、網(wǎng)絡(luò)隔離、終端檢測(cè)與響應(yīng)等能力,對(duì)釣魚(yú)攻擊進(jìn)行全方位的檢測(cè)與防御,注重于綜合利用關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、聯(lián)動(dòng)響應(yīng)等技術(shù),以提高對(duì)未知和新型釣魚(yú)攻擊的檢測(cè)和防御能力,可以幫助組織更好地對(duì)抗網(wǎng)絡(luò)釣魚(yú)攻擊。
(1)雙引擎查殺:
采用完全自研的特征引擎+AI引擎,不僅能準(zhǔn)確檢測(cè)已知釣魚(yú)攻擊程序,還能快速檢測(cè)未知類型和新型釣魚(yú)程序,全面提高釣魚(yú)程序檢測(cè)查殺能力。
(2)快速檢測(cè)與響應(yīng):
能夠?qū)崟r(shí)檢測(cè)終端設(shè)備上的行為活動(dòng),包括文件行為、注冊(cè)表行為、網(wǎng)絡(luò)行為、文件行為、進(jìn)程行為等,及時(shí)發(fā)現(xiàn)可疑的網(wǎng)絡(luò)釣魚(yú)攻擊行為,進(jìn)行主動(dòng)防御,做出快速的響應(yīng)阻斷動(dòng)作。
(3)文件追蹤:
采用內(nèi)核級(jí)監(jiān)測(cè)技術(shù),江民赤豹EDR能夠?qū)崿F(xiàn)文件傳輸行為的全方位跟蹤,包括U盤(pán)文件傳輸、http文件傳輸、郵件傳輸、網(wǎng)絡(luò)共享傳輸以及ftp傳輸?shù)任募鬏斝袨椤?/span>
(4)網(wǎng)絡(luò)隔離:
當(dāng)檢測(cè)到網(wǎng)絡(luò)釣魚(yú)攻擊行為時(shí),它可以立即采取響應(yīng)措施,如一鍵隔離終端、一鍵封堵端口、一鍵禁用IP等快速網(wǎng)絡(luò)隔離操作,防止攻擊的擴(kuò)散。
(5)違規(guī)外聯(lián)檢測(cè):
提供違規(guī)外聯(lián)檢測(cè)能力,可以有效檢測(cè)和防御釣魚(yú)程序的外聯(lián)行為,防止內(nèi)網(wǎng)終端數(shù)據(jù)泄露到外網(wǎng)。同時(shí)提供取證能力,將違規(guī)外聯(lián)的詳情記錄下來(lái)。
(6)與NDR聯(lián)動(dòng)響應(yīng):
支持與江民赤豹NDR設(shè)備或其他流量檢測(cè)設(shè)備進(jìn)行聯(lián)動(dòng)響應(yīng),通過(guò)關(guān)聯(lián)分析和機(jī)器學(xué)習(xí),增強(qiáng)釣魚(yú)攻擊的檢測(cè)成功率和響應(yīng)能力,補(bǔ)充網(wǎng)絡(luò)流量釣魚(yú)攻擊檢測(cè)的不足之處。
江民赤豹終端安全團(tuán)隊(duì)專注于終端安全攻防技術(shù)研究和產(chǎn)品研發(fā),開(kāi)發(fā)了包括赤豹終端安全軟件、江民網(wǎng)絡(luò)版殺毒軟件、赤豹防勒索系統(tǒng)、赤豹終端安全管理系統(tǒng)、赤豹終端安全檢測(cè)與響應(yīng)系統(tǒng)等多款終端安全產(chǎn)品。赤豹終端安全團(tuán)隊(duì)持續(xù)聚焦終端高級(jí)威脅防護(hù)和攻防對(duì)抗,可以幫助客戶建立面向已知和未知威脅防護(hù)以及統(tǒng)一管控、高效運(yùn)維的新一代終端安全立體防護(hù)體系。
