所有软件都有漏洞,很多会得以及时处理,但还有一些就连软件开发商都没有及时发现。然而网络罪犯们竭力去发现这些漏洞并对其大肆利用。事实上,漏洞发生率在日益升高,赛门铁克互联网安全威胁报告声称零日漏洞的发生率在2015年增加了125%。
图片来源:赛门铁克2016年4月份的互联网安全威胁报告
如果您认为最常见的应用程序漏洞最少,那就错了。常见操作系统、终端用户浏览器和企业应用程序均存在风险,也就是说在您的机构中,所有软件堆栈层都面临风险。在最近一段时间内,安全软件供应商为软件套件中的200或300个漏洞发布了相关补丁程序。我们发现这些漏洞有很多可以远程利用,严重程度也非常高 — 或一个20余年的漏洞就那么众目昭昭地存在于常见操作系统之中。
从网络攻击者的角度看,他们能够利用浏览器漏洞强行闯入机构系统之中。通过操作系统获取访问权意味着网络攻击者们可以感染一台机器,之后将其作为“水坑”感染其他机器,从而在机构系统中为所欲为。最后,侵入企业应用程序能够使网络攻击者访问关键任务信息、ERP系统和客户数据。
真正令人生畏的是零日漏洞具有快速自我武装能力。我们从赛门铁克互联网安全威胁报告中得知,隐秘发现漏洞利用工具的时间和其纳入专业漏洞利用工具包的时间仅相隔数个小时。例如,Angler漏洞利用工具包已发起过无数次攻击,其能在不编写磁盘文件的情况下使用多种漏洞利用工具下载并执行恶意软件,从而躲避很多传统防护方法和下一代防护方法(依赖于文件)的检测。在不久之前,这些漏洞利用工具还以局部方式出现,而现如今它们很快就会在全世界范围内进行大规模传播。
网络罪犯们很清楚,在漏洞利用工具发布后,安全软件供应商有时需要用几周的时间发布补丁。这就说明,用户可能在几个月后才能够升级端点设备。对于网络攻击者来说,这是一个继续利用漏洞、盗取敏感信息和扰乱机构业务的绝佳机会。
你可能会问自己,处理这些漏洞利用工具的最佳方法是什么。签名技术无法阻拦内存利用工具,而作为端点保护王牌技术的机器学习也无法对其进行识别。因此,我们需要一种独特的技术,即漏洞利用工具预防技术。Symantec Endpoint Protection (SEP)使用的漏洞利用工具预防技术称为内存利用缓解。这种技术很少使用签名功能,而是转而使用漏洞利用工具行为感知功能,以预先阻拦零日漏洞。安装SEP之后,该软件便会保护您的端点设备免受内存利用工具影响,使您无需顾忌利用软件缺陷和漏洞时使用的攻击行为或技术。
让我们来看看几个不同类型的攻击行为:
例如,Heap Spray(一种攻击技术)利用特定模式填写应用内存。这种模式不仅能使应用程序将控制权返交给由恶意软件控制的内存,而且还能够加以执行。赛门铁克缓解Heap Spray 攻击的方法是先识别这些模式所指的内存位置,之后插入相关代码以生成异常情况并将控制权返交给我们的端点保护产品。
利用逻辑缺陷的Java漏洞利用工具。这种恶意软件可造成解释器误读调用程序,从而有机会禁用安全管理器。在禁用安全管理器之后,网络攻击者便能够在机器上执行用户平时所执行的任何工作。
您可以看出所有漏洞利用工具都很独特,因此我们需要深思熟虑地制定相关策略,才能够降低风险。请注意,攻击行为可通过不同策略加以解决,且某些策略和其他策略相比更为有效。
漏洞利用工具预防技术可针对具体问题使用,而且在为分层解决方案提供下一代综合性端点保护功能中起着重要作用。
漏洞利用工具预防技术要强于很多其他技术,如入侵防御系统、反恶意软件和信誉分析技术。上述技术主要依靠对网络数据包、签名和信息的监测,以抵御高容量攻击。
即便您拥有能够识别可信应用程序的应用控制工具,也请务必使用漏洞利用工具预防技术。就像我们在上边说讨论的一样,很多“合法”应用程序均含有漏洞。
其他下一代技术依靠编写硬盘文件或执行程序以识别威胁,漏洞利用工具预防技术能够提供这些技术无法提供的防护功能。请您始终确保在端点防护解决方案中使用机器学习和漏洞利用工具预防技术。
无论怎样发起攻击(如恶意宣传或从USB闪存盘下载受感染文件等),这种技术总会为您提供相关保护。
您的设备一旦拥有漏洞利用工具预防功能,便能够随时随地缓解内存攻击所带来的风险,因此它是一种必备技术。
点击此处,获取更多有关Symantec Endpoint Protection软件的相关信息。