惡意軟件是數(shù)據(jù)泄露的重要載體。研究表明，無論是最初的入侵、在網(wǎng)絡(luò)中擴(kuò)展或者是竊取數(shù)據(jù)，51％的數(shù)據(jù)泄露都使用了惡意軟件。然而，盡管惡意軟件是關(guān)鍵的攻擊矢量，企業(yè)卻無法抵御在網(wǎng)絡(luò)中肆意運(yùn)行的數(shù)據(jù)竊取惡意軟件。事實(shí)上，某些規(guī)模最大、最廣為人知的數(shù)據(jù)泄露都是由未檢測到的惡意軟件造成的。

這是為什么呢？現(xiàn)代惡意軟件的出現(xiàn)就是為了規(guī)避傳統(tǒng)的惡意軟件防御措施的。當(dāng)前的惡意軟件是復(fù)雜的多矢量攻擊武器，采用了一系列的規(guī)避攻擊和偽裝技術(shù)來規(guī)避檢測措施。在攻擊者和防御者的博弈中，黑客會(huì)不斷尋找始終領(lǐng)先現(xiàn)有防御系統(tǒng)一步的新方法。這里，我們?yōu)楦魑粴w納了5種現(xiàn)代惡意軟件常見的規(guī)避技術(shù)，以及它們是如何戰(zhàn)勝傳統(tǒng)惡意軟件防御措施的。

多態(tài)惡意軟件：許多傳統(tǒng)的惡意軟件防御措施可以針對(duì)已知的惡意軟件特征碼進(jìn)行防御�，F(xiàn)代的數(shù)據(jù)竊取惡意軟件可以通過不斷的偽裝或變形來解決這一點(diǎn)。只需簡單地改變代碼，攻擊者就可以輕松地為文件生成一個(gè)全新的二進(jìn)制特征碼。變形的零日惡意軟件戰(zhàn)勝了殺毒軟件、電子郵件過濾、IPS／IDS和沙盒等基于特征碼的防御措施。

無文件惡意軟件：許多惡意軟件防御工具會(huì)通過關(guān)注靜態(tài)文件和操作系統(tǒng)（OS）進(jìn)程來檢測惡意活動(dòng)。然而，越來越多的攻擊者采用了只在運(yùn)行時(shí)內(nèi)存中執(zhí)行的無文件惡意軟件技術(shù)，不會(huì)在目標(biāo)主機(jī)上留下任何痕跡，因此對(duì)基于文件的防御措施是透明的。無文件惡意軟件戰(zhàn)勝了IPS／IDS、用戶與實(shí)體行為分析（UEBA）、殺毒軟件和沙盒。

加密有效負(fù)載：某些惡意軟件防御措施采用了內(nèi)容掃描來攔截敏感數(shù)據(jù)泄露。攻擊者會(huì)通過加密被感染主機(jī)和命令控制（C＆C）服務(wù)器之間的信息傳送來躲過這一措施。加密有效負(fù)載戰(zhàn)勝了DLP、終端檢測響應(yīng)（EDR）和Web安全網(wǎng)關(guān)（SWG）。

域生成算法（DGA）：某些惡意軟件防御措施包含已知C＆C服務(wù)器的地址，可以阻斷這些服務(wù)器之間的信息傳送。然而，具備域生成功能的惡意軟件可以通過定期修改C＆C地址細(xì)節(jié)并使用未知地址來解決這個(gè)問題。戰(zhàn)勝了Web安全網(wǎng)關(guān)（SWG）、終端檢測響應(yīng)（EDR）和沙盒。

主機(jī)欺詐：偽造頭文件信息可以混淆數(shù)據(jù)的真實(shí)目的地，因此可以繞過針對(duì)已知C＆C服務(wù)器地址的防御措施。戰(zhàn)勝了Web安全網(wǎng)關(guān)（SWG）、IPS／IDS和沙盒。

那么，企業(yè)要如何應(yīng)對(duì)呢？其實(shí)，戰(zhàn)勝零日規(guī)避式惡意軟件并不容易，但企業(yè)可以采取下面幾個(gè)重要措施來嚴(yán)格限制這些惡意軟件的影響：

采用多層防御措施：保護(hù)企業(yè)防御規(guī)避式惡意軟件并不是一件一勞永逸的事情。相反，這是一項(xiàng)持續(xù)的工作，需要將端點(diǎn)防御（例如殺毒軟件）和防火墻、Web安全網(wǎng)關(guān)等網(wǎng)絡(luò)層防護(hù)措施結(jié)合起來。只有多層防護(hù)措施才能實(shí)現(xiàn)完全的安全覆蓋。

關(guān)注零日惡意軟件：在目前常見的惡意軟件中，零日惡意軟件占了50％�，F(xiàn)有的惡意軟件防御措施通常都無法檢測到零日惡意軟件，這是造成數(shù)據(jù)丟失的主要原因。因此，企業(yè)亟需能夠明確識(shí)別并檢測到零日惡意軟件的惡意軟件防御機(jī)制。

進(jìn)行流量分析：數(shù)據(jù)竊取惡意軟件攻擊以整個(gè)網(wǎng)絡(luò)為目標(biāo)，竊取敏感數(shù)據(jù)。盡管感染可能來自用戶端點(diǎn)，但攻擊者通常會(huì)將其擴(kuò)展到網(wǎng)絡(luò)資源中。因此，惡意軟件防御解決方案不僅要關(guān)注網(wǎng)絡(luò)中的某個(gè)區(qū)域或資源類型，還要全盤考慮整個(gè)網(wǎng)絡(luò)，并分析正在發(fā)生的攻擊事件。

利用大數(shù)據(jù)：檢測零日惡意軟件的一個(gè)關(guān)鍵因素就是能夠從長期積累的海量信息中采集數(shù)據(jù)。這就使得防御者可以檢測全球范圍內(nèi)的惡意軟件活動(dòng)，并將看似無關(guān)的活動(dòng)關(guān)聯(lián)起來，追蹤惡意軟件的發(fā)展和演變。