恶意软件定义
恶意软件是旨在中断、损坏计算机系统或在未经授权的情况下访问计算机系统的恶意软件。网络犯罪分子可使用恶意软件来感染设备以窃取数据、获取银行凭据、出售对计算资源或个人信息的访问权限,或向受害者勒索金钱。
什么是恶意软件?
了解如何使用高级工具和主动安全策略识别、预防和响应恶意软件攻击。
关键要点
- 恶意软件是旨在中断设备或窃取设备中的敏感数据,从而给个人和企业带来威胁的恶意软件。
- 恶意软件类型包括勒索软件、广告程序、僵尸网络、加密劫持、间谍软件和特洛伊木马,每种类型的攻击方法和潜在损害各不相同。
- 及早检测恶意软件对于最大程度地降低损害至关重要。企业应留意恶意软件感染的信号,例如性能缓慢或意外的弹出窗口。
- 防病毒软件、终结点检测、威胁检测和响应工具等高级解决方案可帮助预防和缓解恶意软件攻击。
- 主动安全措施(例如,保持软件处于最新状态、维护脱机备份以及采用零信任模型)可以防止恶意软件感染。
- 恶意软件不断发展,使得 AI 支持的网络安全对于早期检测和响应至关重要。
恶意软件的工作原理?
恶意软件可通过使用欺骗手段阻碍设备的正常使用。网络犯罪分子通过一种或多种不同技术(例如网络钓鱼电子邮件、被感染的文件、系统或软件漏洞、被感染的 U 盘或恶意网站)获取设备的访问权限后,可以利用这种情况启动其他攻击、获取帐户凭据、收集个人信息进行出售、出售计算资源的访问权限或向受害者勒索金钱。
任何人都可能成为恶意软件攻击的受害者。尽管你可能了解如何发现攻击者利用恶意软件寻找受害者的一些方法,但网络犯罪分子具备丰富的经验,并且会不断改进其方法来跟进技术和安全改进发展。恶意软件攻击的表现和行为也会因恶意软件的类型而有所不同。例如,rootkit 攻击的受害者可能甚至不知道自己受到攻击,因为这种恶意软件的设计旨在尽可能长时间地潜伏并保持隐蔽。
任何人都可能成为恶意软件攻击的受害者。尽管你可能了解如何发现攻击者利用恶意软件寻找受害者的一些方法,但网络犯罪分子具备丰富的经验,并且会不断改进其方法来跟进技术和安全改进发展。恶意软件攻击的表现和行为也会因恶意软件的类型而有所不同。例如,rootkit 攻击的受害者可能甚至不知道自己受到攻击,因为这种恶意软件的设计旨在尽可能长时间地潜伏并保持隐蔽。
恶意软件的类型
恶意软件包括多种类型 - 下面是一些最常见的恶意软件。
广告程序
广告程序可在未经设备所有者同意的情况下自行安装,以显示或下载广告,通常以弹出窗口的形式通过点击实现盈利。这些广告通常会降低设备的性能。更危险的广告程序类型还可以安装其他软件、更改浏览器设置,并导致设备容易受到其他恶意软件的攻击。
僵尸网络
僵尸网络是攻击者远程控制的被感染设备的网络。这些网络通常用于大规模攻击,例如分布式拒绝服务 (DDoS) 攻击、垃圾邮件或窃取数据。
加密劫持
随着加密货币的普及,挖矿已成为一种有利可图的行为。加密货币劫持指的是在设备所有者不知情的情况下,劫持其计算能力来挖掘加密货币,这会显著降低被感染系统的速度。此类恶意软件的感染通常始于尝试安装恶意软件的电子邮件附件,或利用 Web 浏览器中的漏洞或利用计算机处理能力来将恶意软件添加到设备的网站。
通过复杂的数学计算,恶意加密劫持工具可维护区块链账本(或去中心化数字记录系统),以窃取计算资源来创建新的加密货币。然而,加密货币挖掘需要消耗大量的计算机处理能力,才能窃取相对少量的加密货币。出于此原因,网络犯罪分子通常组队行动,以实现利润最大化和分赃。
不过,并非所有的加密货币矿工都是犯罪分子 - 个人和组织有时会购买硬件和电力用于合法的加密货币挖掘活动。当网络犯罪分子在企业不知情的情况下渗透其网络,以利用其计算能力进行挖矿时,这种行为就构成了犯罪。
攻击和攻击工具包
攻击可利用软件中的漏洞绕过计算机的安全保护措施并安装恶意软件。恶意黑客会扫描包含关键漏洞的过时系统,然后通过部署恶意软件来攻击它们。通过在攻击中包含 shellcode,网络犯罪分子可以下载更多恶意软件来感染设备和渗透组织。
攻击工具包是网络犯罪分子用来查找和利用已知软件漏洞的自动化工具,可支持其快速高效地发起攻击。可能会被感染的软件包括 Adobe Flash Player、Adobe Reader、Web 浏览器、Oracle Java 和 Sun Java。Angler/Axpergle、Neutrino 和 Nuclear 是几种常见的攻击工具包。
攻击和攻击工具包通常依赖于恶意网站或电子邮件附件来破坏网络或设备,但有时它们也会隐藏在合法网站上的广告中。
无文件恶意软件
此类网络攻击广义上指不依赖文件(如被感染的电子邮件附件)来入侵网络的恶意软件。例如,它们可能通过可利用漏洞的恶意网络数据包(或通过计算机网络传输的大型数据集的小型片段)进入系统,然后安装仅存在于内核内存中的恶意软件。无文件威胁尤其难以发现和移除,因为大多数防病毒程序并非旨在扫描固件。
勒索软件
勒索软件是一种恶意软件,它通过破坏或阻止对关键数据的访问来威胁受害者,直到其支付赎金为止。人工操作的勒索软件攻击可通过常见的系统和安全错误配置来攻击组织,这些错误配置会允许其渗入组织,浏览其企业网络,并适应环境和利用任何弱点。获取组织网络的访问权限以发送勒索软件的一种常见方法是通过凭据盗窃,网络罪犯可以窃取某个真正员工的凭据,冒充他们来访问其帐户。
使用人工操作勒索软件的攻击者以大型组织为目标,因为与普通个人相比,这些组织能够支付更高的赎金 - 通常高达数百万美元。由于此类大规模泄露涉及极高风险,许多组织会选择支付赎金,以免泄露敏感数据或面临进一步攻击的风险。但是,支付赎金并不能保证避免任何一种后果。
随着人工操作勒索软件攻击的增加,攻击背后的犯罪分子变得更加有组织性。事实上,很多勒索软件操作现在使用勒索软件即服务模型,即由一组犯罪开发者编写勒索软件本身,然后雇佣其他网络犯罪同伙入侵组织的网络并安装勒索软件,最后按约定比率分赃获利。
Rootkit
当使用 Rootkit 时,网络犯罪分子会在设备上尽可能长时间地隐藏恶意软件(有时甚至会隐藏数年),以便持续窃取信息和资源。通过拦截和修改标准操作系统进程,rootkit 可能会更改设备自身报告的信息。例如,感染了 rootkit 的设备可能不会显示正在运行的程序的准确列表。Rootkit 还可能向网络犯罪者授予管理或提升的设备权限,以便他们能够完全控制设备,并且可以执行窃取数据、监视受害者以及安装其他恶意软件等操作。
间谍软件
间谍软件可在用户不知情的情况下收集个人或敏感信息,通常会跟踪浏览习惯、登录凭据或财务详细信息,这些信息可用于身份盗窃或出售给第三方。
供应链攻击
此类恶意软件通过访问源代码、构建流程或更新合法应用中的机制来攻击软件开发人员和提供商。发现不安全的网络协议、未受保护的服务器基础结构或不安全的编码行为后,网络犯罪分子就会入侵、更改源代码并将恶意软件隐藏在构建和更新过程中。当被入侵的软件发送给客户时,它还会感染客户的系统。
技术支持诈骗
技术支持诈骗是一个行业性问题,其通过恐吓手段诱使用户付费购买不必要的技术支持服务,这些服务往往宣称能够解决设备、平台或软件上的虚假问题。借助此类恶意软件,网络犯罪分子会直接致电某人,假扮软件公司员工,或制作伪装为系统警告外观的可点击广告。获得了某人的信任后,攻击者通常会敦促潜在的受害者安装应用程序或允许远程访问其设备。
特洛伊木马
特洛伊木马会伪装成合法软件,以诱骗用户下载它们。用户下载后,它们就可以:
蠕虫主要存在于电子邮件附件、短信、文件共享程序、社交网站、网络共享和可移动驱动器中,通过利用安全漏洞和复制自身在网络中传播。蠕虫病毒可能会窃取敏感信息、更改安全设置或阻止你访问文件,具体取决于其类型。与病毒不同,蠕虫不需要进行任何人工交互即可传播 - 它们会自行复制。
病毒
病毒是最古老的恶意软件形式之一,旨在破坏或销毁被感染设备上的数据。它们通常会受害者打开恶意文件或电子邮件附件时感染系统并进行复制。
广告程序
广告程序可在未经设备所有者同意的情况下自行安装,以显示或下载广告,通常以弹出窗口的形式通过点击实现盈利。这些广告通常会降低设备的性能。更危险的广告程序类型还可以安装其他软件、更改浏览器设置,并导致设备容易受到其他恶意软件的攻击。
僵尸网络
僵尸网络是攻击者远程控制的被感染设备的网络。这些网络通常用于大规模攻击,例如分布式拒绝服务 (DDoS) 攻击、垃圾邮件或窃取数据。
加密劫持
随着加密货币的普及,挖矿已成为一种有利可图的行为。加密货币劫持指的是在设备所有者不知情的情况下,劫持其计算能力来挖掘加密货币,这会显著降低被感染系统的速度。此类恶意软件的感染通常始于尝试安装恶意软件的电子邮件附件,或利用 Web 浏览器中的漏洞或利用计算机处理能力来将恶意软件添加到设备的网站。
通过复杂的数学计算,恶意加密劫持工具可维护区块链账本(或去中心化数字记录系统),以窃取计算资源来创建新的加密货币。然而,加密货币挖掘需要消耗大量的计算机处理能力,才能窃取相对少量的加密货币。出于此原因,网络犯罪分子通常组队行动,以实现利润最大化和分赃。
不过,并非所有的加密货币矿工都是犯罪分子 - 个人和组织有时会购买硬件和电力用于合法的加密货币挖掘活动。当网络犯罪分子在企业不知情的情况下渗透其网络,以利用其计算能力进行挖矿时,这种行为就构成了犯罪。
攻击和攻击工具包
攻击可利用软件中的漏洞绕过计算机的安全保护措施并安装恶意软件。恶意黑客会扫描包含关键漏洞的过时系统,然后通过部署恶意软件来攻击它们。通过在攻击中包含 shellcode,网络犯罪分子可以下载更多恶意软件来感染设备和渗透组织。
攻击工具包是网络犯罪分子用来查找和利用已知软件漏洞的自动化工具,可支持其快速高效地发起攻击。可能会被感染的软件包括 Adobe Flash Player、Adobe Reader、Web 浏览器、Oracle Java 和 Sun Java。Angler/Axpergle、Neutrino 和 Nuclear 是几种常见的攻击工具包。
攻击和攻击工具包通常依赖于恶意网站或电子邮件附件来破坏网络或设备,但有时它们也会隐藏在合法网站上的广告中。
无文件恶意软件
此类网络攻击广义上指不依赖文件(如被感染的电子邮件附件)来入侵网络的恶意软件。例如,它们可能通过可利用漏洞的恶意网络数据包(或通过计算机网络传输的大型数据集的小型片段)进入系统,然后安装仅存在于内核内存中的恶意软件。无文件威胁尤其难以发现和移除,因为大多数防病毒程序并非旨在扫描固件。
勒索软件
勒索软件是一种恶意软件,它通过破坏或阻止对关键数据的访问来威胁受害者,直到其支付赎金为止。人工操作的勒索软件攻击可通过常见的系统和安全错误配置来攻击组织,这些错误配置会允许其渗入组织,浏览其企业网络,并适应环境和利用任何弱点。获取组织网络的访问权限以发送勒索软件的一种常见方法是通过凭据盗窃,网络罪犯可以窃取某个真正员工的凭据,冒充他们来访问其帐户。
使用人工操作勒索软件的攻击者以大型组织为目标,因为与普通个人相比,这些组织能够支付更高的赎金 - 通常高达数百万美元。由于此类大规模泄露涉及极高风险,许多组织会选择支付赎金,以免泄露敏感数据或面临进一步攻击的风险。但是,支付赎金并不能保证避免任何一种后果。
随着人工操作勒索软件攻击的增加,攻击背后的犯罪分子变得更加有组织性。事实上,很多勒索软件操作现在使用勒索软件即服务模型,即由一组犯罪开发者编写勒索软件本身,然后雇佣其他网络犯罪同伙入侵组织的网络并安装勒索软件,最后按约定比率分赃获利。
Rootkit
当使用 Rootkit 时,网络犯罪分子会在设备上尽可能长时间地隐藏恶意软件(有时甚至会隐藏数年),以便持续窃取信息和资源。通过拦截和修改标准操作系统进程,rootkit 可能会更改设备自身报告的信息。例如,感染了 rootkit 的设备可能不会显示正在运行的程序的准确列表。Rootkit 还可能向网络犯罪者授予管理或提升的设备权限,以便他们能够完全控制设备,并且可以执行窃取数据、监视受害者以及安装其他恶意软件等操作。
间谍软件
间谍软件可在用户不知情的情况下收集个人或敏感信息,通常会跟踪浏览习惯、登录凭据或财务详细信息,这些信息可用于身份盗窃或出售给第三方。
供应链攻击
此类恶意软件通过访问源代码、构建流程或更新合法应用中的机制来攻击软件开发人员和提供商。发现不安全的网络协议、未受保护的服务器基础结构或不安全的编码行为后,网络犯罪分子就会入侵、更改源代码并将恶意软件隐藏在构建和更新过程中。当被入侵的软件发送给客户时,它还会感染客户的系统。
技术支持诈骗
技术支持诈骗是一个行业性问题,其通过恐吓手段诱使用户付费购买不必要的技术支持服务,这些服务往往宣称能够解决设备、平台或软件上的虚假问题。借助此类恶意软件,网络犯罪分子会直接致电某人,假扮软件公司员工,或制作伪装为系统警告外观的可点击广告。获得了某人的信任后,攻击者通常会敦促潜在的受害者安装应用程序或允许远程访问其设备。
特洛伊木马
特洛伊木马会伪装成合法软件,以诱骗用户下载它们。用户下载后,它们就可以:
- 下载并安装其他恶意软件,例如病毒或蠕虫。
- 通过人为增加按钮、广告或链接的单击次数,使用被感染设备实施点击欺诈。
- 记录击键和你访问的网站。
- 将有关受感染设备的信息(例如密码、登录详细信息和浏览历史记录)发送给恶意黑客。
- 允许网络犯罪分子控制被感染的设备。
蠕虫主要存在于电子邮件附件、短信、文件共享程序、社交网站、网络共享和可移动驱动器中,通过利用安全漏洞和复制自身在网络中传播。蠕虫病毒可能会窃取敏感信息、更改安全设置或阻止你访问文件,具体取决于其类型。与病毒不同,蠕虫不需要进行任何人工交互即可传播 - 它们会自行复制。
病毒
病毒是最古老的恶意软件形式之一,旨在破坏或销毁被感染设备上的数据。它们通常会受害者打开恶意文件或电子邮件附件时感染系统并进行复制。
恶意软件的业务影响
恶意软件可能会对企业造成重大损害,其后果会超出初始攻击范围,包括:
- 财务损失。恶意软件攻击通常会导致财务损失,包括赎金、恢复费用以及停机期间的收入损失。
- 数据泄露和隐私问题。恶意软件可能导致数据失窃,从而泄露客户数据或知识产权等敏感信息。
- 运营中断。当员工无法访问关键系统或数据时,攻击可能会导致业务运营处于停顿状态。
- 信誉损害。攻击事件的公开会削弱信任,损害客户关系及企业长期商业前景。
如何检测恶意软件
及早检测恶意软件对于在最大程度上减轻对系统的损害至关重要。恶意软件通常会表现出细微迹象,例如设备性能缓慢、频繁崩溃、出现意外弹出窗口或程序,这可能表示存在入侵。
企业可使用各种工具来检测恶意软件,包括防病毒软件、防火墙、终结点检测和响应 (EDR) 系统、托管检测和响应 (MDR) 服务、扩展检测和响应 (XDR) 解决方案,以及网络威胁搜寻流程。EDR 侧重于在终结点级别检测和响应威胁,XDR 则超越了终结点,可跨多个领域(如电子邮件、标识和云应用)关联信号,从而提供威胁的全面视图。MDR 将这些工具与专家引导式监视和响应服务相结合,为企业提供管理威胁的额外支持。
检测到异常活动后,运行完整系统扫描和查看日志会有助于确认恶意软件是否存在。在此过程中,EDR 会通过识别和隔离被入侵终结点发挥关键作用,而 XDR 则在整个组织中扩展检测范围,以提供端到端的攻击可见性。MDR 服务可通过持续监视和专家分析进一步增强此过程,从而实现更快、更有效的响应。这些工具和服务共同提供了一种统一的方法来检测和缓解恶意软件威胁,从而帮助企业限制损害和维护安全。
企业可使用各种工具来检测恶意软件,包括防病毒软件、防火墙、终结点检测和响应 (EDR) 系统、托管检测和响应 (MDR) 服务、扩展检测和响应 (XDR) 解决方案,以及网络威胁搜寻流程。EDR 侧重于在终结点级别检测和响应威胁,XDR 则超越了终结点,可跨多个领域(如电子邮件、标识和云应用)关联信号,从而提供威胁的全面视图。MDR 将这些工具与专家引导式监视和响应服务相结合,为企业提供管理威胁的额外支持。
检测到异常活动后,运行完整系统扫描和查看日志会有助于确认恶意软件是否存在。在此过程中,EDR 会通过识别和隔离被入侵终结点发挥关键作用,而 XDR 则在整个组织中扩展检测范围,以提供端到端的攻击可见性。MDR 服务可通过持续监视和专家分析进一步增强此过程,从而实现更快、更有效的响应。这些工具和服务共同提供了一种统一的方法来检测和缓解恶意软件威胁,从而帮助企业限制损害和维护安全。
如何防止恶意软件攻击
防范恶意软件需要采取主动的安全方法,有效移除恶意软件则取决于及早检测和快速行动。组织可以组合使用防病毒程序和适用于威胁检测和响应的高级解决方案来阻止或检测恶意软件攻击,此组合提供了一种全面的方法来快速识别和缓解威胁。
下面是防止恶意软件攻击的一些方法:
安装防病毒程序
最好的保护方式是预防。组织可以使用包含反恶意软件的受信任安全解决方案(如 Microsoft Defender for Endpoint)来阻止或检测许多恶意软件攻击。使用此类程序时,设备将首先扫描你尝试打开的任何文件或链接,以帮助确保其处于安全状态。如果某个文件或网站是恶意的,该程序将提醒你,并建议你不要打开它。这些程序还可从已感染的设备中移除恶意软件。
实施电子邮件和终结点保护
使用 XDR 解决方案(如 Microsoft Defender for XDR)帮助防范恶意软件攻击。这些统一的安全事件解决方案提供了一种全面、高效的方式来防范和响应高级网络攻击。XDR 基于将专家引导式监视与高级检测工具相结合的 MDR 而构建,它通过跨终结点、电子邮件、标识和云应用程序集成信号,将安全性提升到更高级别。借助这种扩展的可见性,组织能够更快、更精确地识别和中断复杂攻击。
Microsoft Defender for Endpoint 同样是 Microsoft Defender XDR 的一部分,它使用终结点行为传感器、云安全分析和威胁情报来帮助组织防范、检测、调查和响应高级威胁。
举行定期培训
通过定期更新以涵盖攻击者策略方面的新发展的培训课程,帮助员工了解如何发现网络钓鱼和其他网络攻击的迹象。这不仅会向员工传授更安全的工作方法,还可让其了解如何在使用其个人设备时提高安全性。模拟和训练工具有助于在你的环境中模拟实际威胁,并根据结果向最终用户分配培训。
利用云备份
当你将数据移动到基于云的服务时,你将能够轻松备份数据来更安全地存储。如果你的数据曾经被恶意软件破坏过,这些服务可帮助确保立即全面恢复。
采用零信任模型
零信任模型会在允许设备和用户访问应用程序、文件、数据库和其他设备之前,评估所有这些设备和用户的风险状况,从而降低恶意标识或设备访问资源及安装恶意软件的可能性。例如,实施多重身份验证(零信任模型的一个组件)已证明可将标识攻击的有效性降低 99% 以上。要评估你的组织的零信任成熟度阶段,请采用我们的零信任成熟度评估。
加入信息共享小组
信息共享小组通常按行业或地理位置组织,它们鼓励结构类似的组织齐心协力,共同创建网络安全解决方案。这些小组还会向组织提供其他好处,例如事件响应和数字取证服务、关于最新威胁的资讯,以及监视公共 IP 范围和域。
维护脱机备份
由于一些恶意软件会尝试查和删除你拥有的任何联机备份,因此最好保留定期测试的敏感数据更新脱机备份,以确保在受到恶意软件攻击时可以还原它。
保持软件处于最新状态
除了保持任何防病毒程序解决方案处于更新状态(请考虑选择自动更新以简化此操作)以外,还务必在任何其他系统更新和软件补丁推出时立即下载和安装它们。这可帮助在最大程度上减少任何安全漏洞,因为网络犯罪分子可能会利用这些漏洞来获得你的网络或设备的访问权限。
创建事件响应计划
事件响应计划将为你提供可在不同攻击场景中采取的步骤,以便你可以尽快恢复正常且安全地运行。
下面是防止恶意软件攻击的一些方法:
安装防病毒程序
最好的保护方式是预防。组织可以使用包含反恶意软件的受信任安全解决方案(如 Microsoft Defender for Endpoint)来阻止或检测许多恶意软件攻击。使用此类程序时,设备将首先扫描你尝试打开的任何文件或链接,以帮助确保其处于安全状态。如果某个文件或网站是恶意的,该程序将提醒你,并建议你不要打开它。这些程序还可从已感染的设备中移除恶意软件。
实施电子邮件和终结点保护
使用 XDR 解决方案(如 Microsoft Defender for XDR)帮助防范恶意软件攻击。这些统一的安全事件解决方案提供了一种全面、高效的方式来防范和响应高级网络攻击。XDR 基于将专家引导式监视与高级检测工具相结合的 MDR 而构建,它通过跨终结点、电子邮件、标识和云应用程序集成信号,将安全性提升到更高级别。借助这种扩展的可见性,组织能够更快、更精确地识别和中断复杂攻击。
Microsoft Defender for Endpoint 同样是 Microsoft Defender XDR 的一部分,它使用终结点行为传感器、云安全分析和威胁情报来帮助组织防范、检测、调查和响应高级威胁。
举行定期培训
通过定期更新以涵盖攻击者策略方面的新发展的培训课程,帮助员工了解如何发现网络钓鱼和其他网络攻击的迹象。这不仅会向员工传授更安全的工作方法,还可让其了解如何在使用其个人设备时提高安全性。模拟和训练工具有助于在你的环境中模拟实际威胁,并根据结果向最终用户分配培训。
利用云备份
当你将数据移动到基于云的服务时,你将能够轻松备份数据来更安全地存储。如果你的数据曾经被恶意软件破坏过,这些服务可帮助确保立即全面恢复。
采用零信任模型
零信任模型会在允许设备和用户访问应用程序、文件、数据库和其他设备之前,评估所有这些设备和用户的风险状况,从而降低恶意标识或设备访问资源及安装恶意软件的可能性。例如,实施多重身份验证(零信任模型的一个组件)已证明可将标识攻击的有效性降低 99% 以上。要评估你的组织的零信任成熟度阶段,请采用我们的零信任成熟度评估。
加入信息共享小组
信息共享小组通常按行业或地理位置组织,它们鼓励结构类似的组织齐心协力,共同创建网络安全解决方案。这些小组还会向组织提供其他好处,例如事件响应和数字取证服务、关于最新威胁的资讯,以及监视公共 IP 范围和域。
维护脱机备份
由于一些恶意软件会尝试查和删除你拥有的任何联机备份,因此最好保留定期测试的敏感数据更新脱机备份,以确保在受到恶意软件攻击时可以还原它。
保持软件处于最新状态
除了保持任何防病毒程序解决方案处于更新状态(请考虑选择自动更新以简化此操作)以外,还务必在任何其他系统更新和软件补丁推出时立即下载和安装它们。这可帮助在最大程度上减少任何安全漏洞,因为网络犯罪分子可能会利用这些漏洞来获得你的网络或设备的访问权限。
创建事件响应计划
事件响应计划将为你提供可在不同攻击场景中采取的步骤,以便你可以尽快恢复正常且安全地运行。
检测和响应恶意软件攻击
恶意软件并不总是能够轻松检测到,尤其是在无文件恶意软件的情况下。对于组织和个人而言,留意弹窗广告、Web 浏览器重定向、社交媒体帐户上的可疑帖子以及有关被盗用帐户或设备安全性方面消息的增加是一个良好方法。设备性能发生变化(例如运行速度明显减慢)也可能是恶意软件感染的一个信号。
对于防病毒程序无法检测和阻止的针对组织的更复杂攻击,安全信息和事件管理 (SIEM) 以及扩展检测和响应 (XDR) 工具为安全专业人员提供了云支持的终结点安全方法,可帮助检测和响应对终结点设备的攻击。网络犯罪分子的目标不仅仅是控制设备,因此这些类型的攻击是多方面的,而 SIEM 和 XDR 可帮助组织跨所有领域(包括设备、电子邮件和应用程序)了解攻击的总体情况。
使用 SIEM 和 XDR 工具(如 Microsoft Sentinel、Microsoft Defender XDR 和 Microsoft Defender for Cloud),可提供防病毒功能。安全专业人员应确保始终更新设备设置,以符合最新的建议,从而帮助防范恶意软件威胁。 准备防范恶意软件攻击时要采取的最重要步骤之一是制定事件响应计划,这是一种详细的结构化方法,可由组织用于管理网络攻击(包括恶意软件感染)并缓解其影响。它概述了识别、遏制和根除威胁以及从造成的损害中恢复的具体步骤。制定明确的事件响应计划有助于企业在最大程度上减少停机时间、降低财务损失,并通过确保所有团队成员在网络危机期间明确自身角色和职责来保护敏感数据。这种主动准备是保持业务连续性的关键所在。
如果担心自己成为恶意软件攻击的受害者,幸运的是,你还拥有检测和消除它们的选项。需要立即执行的措施包括:
对于防病毒程序无法检测和阻止的针对组织的更复杂攻击,安全信息和事件管理 (SIEM) 以及扩展检测和响应 (XDR) 工具为安全专业人员提供了云支持的终结点安全方法,可帮助检测和响应对终结点设备的攻击。网络犯罪分子的目标不仅仅是控制设备,因此这些类型的攻击是多方面的,而 SIEM 和 XDR 可帮助组织跨所有领域(包括设备、电子邮件和应用程序)了解攻击的总体情况。
使用 SIEM 和 XDR 工具(如 Microsoft Sentinel、Microsoft Defender XDR 和 Microsoft Defender for Cloud),可提供防病毒功能。安全专业人员应确保始终更新设备设置,以符合最新的建议,从而帮助防范恶意软件威胁。 准备防范恶意软件攻击时要采取的最重要步骤之一是制定事件响应计划,这是一种详细的结构化方法,可由组织用于管理网络攻击(包括恶意软件感染)并缓解其影响。它概述了识别、遏制和根除威胁以及从造成的损害中恢复的具体步骤。制定明确的事件响应计划有助于企业在最大程度上减少停机时间、降低财务损失,并通过确保所有团队成员在网络危机期间明确自身角色和职责来保护敏感数据。这种主动准备是保持业务连续性的关键所在。
如果担心自己成为恶意软件攻击的受害者,幸运的是,你还拥有检测和消除它们的选项。需要立即执行的措施包括:
- 运行防病毒产品(如 Windows 中本机提供的防病毒产品),以扫描任何恶意程序或代码。如果程序检测到恶意软件,它将列出类型并提供移除建议。删除后,请务必保持该软件处于最新和运行状态,以预防将来的攻击。
- 隔离受影响的系统。通过关闭受影响的系统或禁用系统的网络连接,防止恶意软件传播。由于恶意攻击者可能正在监视组织通信以获取已检测到其攻击的证据,因此请使用非典型设备和方法(如电话或线下会议)来讨论后续步骤。
- 通知利益干系人。按照事件响应计划中的通知指导启动遏制、缓解和恢复过程。还应向网络安全和基础设施安全机构、当地联邦调查局 (FEDERAL) 外勤办公室、FBI Internet 犯罪投诉中心或当地美国特勤局外勤办公室报告该事件。确保遵守数据泄露法律和行业法规,以避免承担进一步的责任。
恶意软件方面的新兴趋势
随着技术的发展,恶意软件会不断适应,将会变得越来越复杂且更难检测。了解将来的趋势可帮助企业领先于威胁。
新兴类型的恶意软件正变得日益复杂,通常旨在通过混淆技术绕过传统安全措施。这些技术包括多态恶意软件,它会在每次感染时更改代码结构,从而提高了检测难度。另一个示例则是隐藏在合法进程中或使用加密来伪装其恶意有效负载的恶意软件。无文件恶意软件直接在内存中运行,而不会留下痕迹,也可以规避传统防病毒程序的检测。为了应对这些不断发展的威胁,组织需要高级解决方案(如 AI 支持的网络安全工具),这些解决方案不仅可以增强检测和防护工作,而且可以实现自动攻击中断。这些工具可以实时隔离被感染的设备和暂停被盗用帐户,从而阻止正在进行的威胁并限制损害。
通过发现可能指示攻击的异常或异常行为,这些工具可以提高检测率,甚至可以在传统方法之前检测到威胁。AI 模型还可通过从过往攻击中学习来预测潜在威胁,从而抢先实施防护措施。此外,机器学习算法可持续优化检测功能,从而通过事先预测和防范攻击,帮助安全团队领先于不断发展的威胁。
新兴类型的恶意软件正变得日益复杂,通常旨在通过混淆技术绕过传统安全措施。这些技术包括多态恶意软件,它会在每次感染时更改代码结构,从而提高了检测难度。另一个示例则是隐藏在合法进程中或使用加密来伪装其恶意有效负载的恶意软件。无文件恶意软件直接在内存中运行,而不会留下痕迹,也可以规避传统防病毒程序的检测。为了应对这些不断发展的威胁,组织需要高级解决方案(如 AI 支持的网络安全工具),这些解决方案不仅可以增强检测和防护工作,而且可以实现自动攻击中断。这些工具可以实时隔离被感染的设备和暂停被盗用帐户,从而阻止正在进行的威胁并限制损害。
通过发现可能指示攻击的异常或异常行为,这些工具可以提高检测率,甚至可以在传统方法之前检测到威胁。AI 模型还可通过从过往攻击中学习来预测潜在威胁,从而抢先实施防护措施。此外,机器学习算法可持续优化检测功能,从而通过事先预测和防范攻击,帮助安全团队领先于不断发展的威胁。
适用于你的企业的恶意软件解决方案
为了在目前和将来防范恶意软件威胁,组织可以信赖 Microsoft 提供的 AI 支持的统一 SecOps 平台。此解决方案集成了 AI 辅助的高级威胁检测和自动响应,可应对新兴类型的恶意软件。它整合了终结点检测、威胁情报和云安全性,为实时检测、响应和防范恶意软件攻击提供了统一的平台。通过提供跨网络的全面可见性和自动保护,此平台可帮助企业加强防御不断变化的威胁。
常见问题解答
- 恶意软件是旨在损害计算机或窃取数据的恶意软件。它可以通过电子邮件、网站或下载进入你的系统。
- 使用计算机或移动设备的任何人都会面临风险。网络犯罪者将个人和组织作为犯罪目标,以窃取数据或中断运营。
- 迹象包括性能缓慢、频繁崩溃和弹出广告。使用防病毒软件和托管检测和响应 (MDR) 或扩展检测和响应 (XDR) 工具运行安全扫描以确认。
- 恶意软件通过被感染的电子邮件附件、恶意网站或系统漏洞传播。黑客会诱使用户下载恶意文件或利用薄弱安全环节。
- 恶意软件可以通过网络钓鱼电子邮件、不安全下载或软件中的漏洞进入系统。定期更新和防病毒工具有助于保护设备。XDR 解决方案等高级工具可通过检测和中断终结点、电子邮件和云应用程序中的威胁来提供全面的保护。
关注 Microsoft 安全