操屁眼的视频在线免费看,日本在线综合一区二区,久久在线观看免费视频,欧美日韩精品久久综

文章速覽：

• Morphisec彌補(bǔ)Window10安全防護(hù)的不足
• 用Morphisec和Windows Defender AV取代傳統(tǒng)的防病毒軟件
• 為終端部署提升你的防衛(wèi)者級(jí)別
• 對(duì)Windows 7生命周期結(jié)束的補(bǔ)償控制

Windows 10安全工具陣列仍然存在明顯的防御漏洞，Morphisec通過(guò)其革命性的自動(dòng)移動(dòng)目標(biāo)防御（Automated Moving Target Defense）技術(shù)，強(qiáng)化Windows 10安全，提供獨(dú)特的防御策略，并簡(jiǎn)化安全運(yùn)維。

一、Morphisec彌補(bǔ)Window10安全防護(hù)的不足

Morphisec加強(qiáng)和提高了微軟Windows 10的安全功能，使企業(yè)能夠充分利用其Win10部署。它和Windows Defender Antivirus共同構(gòu)成了一個(gè)極其強(qiáng)大、具有成本效益的威脅預(yù)防堆棧，簡(jiǎn)化了安全操作。對(duì)于尋求額外EDR保護(hù)的企業(yè)，Morphisec和Microsoft Defender for Endpoint的整合帶來(lái)了進(jìn)一步的價(jià)值，將端點(diǎn)保護(hù)、可視性和光學(xué)性提升到一個(gè)新的水平，同時(shí)降低了風(fēng)險(xiǎn)和安全運(yùn)營(yíng)成本。

Windows10 安全防護(hù)

• 即時(shí)預(yù)防高級(jí)威脅
• 實(shí)際上是修補(bǔ)漏洞
• 無(wú)需更新配置或設(shè)置過(guò)濾器，沒(méi)有錯(cuò)誤警報(bào)
• 將Defender AV威脅合并到Morphisec管理儀表板中，以獲得所有警報(bào)的可見(jiàn)性
• 終端用戶(hù)不可見(jiàn)，對(duì)操作沒(méi)有影響

Morphisec安全防護(hù)

• Morphisec取證數(shù)據(jù)用于確定警報(bào)的優(yōu)先次序和確定機(jī)器風(fēng)險(xiǎn)分?jǐn)?shù)
• Morphisec攻擊數(shù)據(jù)，包括在Defender安全中心提供的內(nèi)部存儲(chǔ)器信息
• 完整的攻擊時(shí)間線(xiàn)集成到警報(bào)進(jìn)程樹(shù)中

二、用Morphisec和Windows Defender AV取代傳統(tǒng)的防病毒軟件

強(qiáng)大的嵌入式Windows 10安全工具陣列——設(shè)備衛(wèi)士、應(yīng)用程序衛(wèi)士、BitLocker和其他控件，加上Windows Defender Antivirus——基本上已經(jīng)超越了傳統(tǒng)的防病毒工具。然而，即使利用Win10的全套安全功能，也存在明顯的防御漏洞。

Morphisec的Defender AV集成改變了這一狀況，它通過(guò)移動(dòng)目標(biāo)防御高級(jí)威脅預(yù)防加強(qiáng)了Defender，并為Defender生成的警報(bào)帶來(lái)了企業(yè)范圍的可見(jiàn)性。Morphisec增加了一個(gè)重要的保護(hù)層，以防止可以繞過(guò)防病毒解決方案的漏洞、無(wú)文件攻擊、未知威脅、零日和逃避性惡意軟件。Morphisec管理控制臺(tái)顯示由Defender AV檢測(cè)到的攻擊和Morphisec威脅數(shù)據(jù)。

1、不受干擾

Windows Defender已經(jīng)嵌入并默認(rèn)在Windows 10操作系統(tǒng)中打開(kāi)。Morphisec使用一個(gè)極小的2MB代理，在幾分鐘內(nèi)部署完畢，不會(huì)影響端點(diǎn)性能，破壞用戶(hù)操作，或?qū)е翨SOD或系統(tǒng)沖突。

2、獲得對(duì)所有威脅的可見(jiàn)性

Morphisec將Defender AV威脅整合到Morphisec管理儀表板中，以獲得所有警報(bào)的可見(jiàn)性。安全團(tuán)隊(duì)可以將這些事件與Morphisec預(yù)防的威脅聯(lián)系起來(lái)，以了解這些事件對(duì)企業(yè)的影響，并做出任何必要的政策或補(bǔ)救決定。

3、幾乎為零的安全性和IT時(shí)間

Morphisec不需要更新，不產(chǎn)生任何錯(cuò)誤警報(bào)，無(wú)論在線(xiàn)還是離線(xiàn)，都能提供同樣水平的保護(hù)。Morphisec在攻擊的最初階段就能確定地阻止攻擊，大大降低了企業(yè)的修復(fù)和取證分析要求和成本。

4、不增加成本

企業(yè)可以取消他們的傳統(tǒng)防病毒軟件，啟用免費(fèi)的嵌入式Defender防病毒軟件，并添加Morphisec，以獲得更安全的防御，而不增加安全支出。事實(shí)上，由于不需要用Defender管理單獨(dú)的更新——新版本通過(guò)Windows Update推送——而Morphisec根本不需要更新，總擁有成本實(shí)際上會(huì)下降。

三、為終端部署提升你的防衛(wèi)者級(jí)別

軟生態(tài)系統(tǒng)中，提供了一個(gè)無(wú)與倫比的組合，將高度先進(jìn)的預(yù)防、檢測(cè)和行為監(jiān)控嵌入到操作系統(tǒng)的結(jié)構(gòu)中。通過(guò)Morphisec和Defender for Endpoint的整合，客戶(hù)可以進(jìn)一步將安全整合到微軟生態(tài)系統(tǒng)中，以前所未有的靈活性和功能保護(hù)企業(yè)系統(tǒng)。Morphisec是微軟MISA認(rèn)證的合作伙伴。

1、集成如何運(yùn)作

Morphisec以移動(dòng)目標(biāo)防御為動(dòng)力的威脅預(yù)防和它所捕獲的豐富的取證數(shù)據(jù)擴(kuò)展了端點(diǎn)衛(wèi)士的功能，減少了修復(fù)和分析成本，提高了安全運(yùn)營(yíng)效率。Morphisec收集的攻擊信息被無(wú)縫集成到微軟Defender安全中心。

2、獲得更深的可見(jiàn)性

高保真、可操作的威脅情報(bào)，包括有關(guān)攻擊的內(nèi)部存儲(chǔ)器信息，直接在Defender安全中心控制臺(tái)中可視化。

3、查看完整的攻擊時(shí)間線(xiàn)

從最早的攻擊前階段開(kāi)始的完整攻擊時(shí)間線(xiàn)被整合到防御者安全中心的警報(bào)流程樹(shù)中。

4、確定警報(bào)的優(yōu)先次序

Defender安全中心使用Morphisec取證數(shù)據(jù)對(duì)活動(dòng)警報(bào)列表中的警報(bào)進(jìn)行優(yōu)先排序，并確定機(jī)器風(fēng)險(xiǎn)得分。團(tuán)隊(duì)還可以快速轉(zhuǎn)到Morphisec統(tǒng)一安全中心，查看有關(guān)攻擊的更深入信息。

四、對(duì)Windows 7生命周期結(jié)束的補(bǔ)償控制

微軟在2020年1月結(jié)束對(duì)Windows 7的支持，但許多組織到那時(shí)還不能完全遷移到Windows

10。Morphisec提供的緩解技術(shù)有資格作為Windows 7部署的補(bǔ)償性控制，因此IT團(tuán)隊(duì)可以根據(jù)自己的時(shí)間表進(jìn)行更新。在遷移過(guò)程中，它通過(guò)動(dòng)態(tài)的高級(jí)威脅防御層來(lái)保護(hù)您的Win7終端、服務(wù)器和嵌入式操作系統(tǒng)，防止利用未打補(bǔ)丁的應(yīng)用程序和操作系統(tǒng)漏洞。

無(wú)文件攻擊（fileless attack）不是什么新穎的威脅，但卻是足夠有效的。這點(diǎn)從著名UTM和防火墻廠商WatchGuard的Threat Lab發(fā)布的2020年Q4惡意軟件和網(wǎng)絡(luò)攻擊研究成果中可見(jiàn)一斑。

Threat Lab觀測(cè)到的數(shù)據(jù)（主要來(lái)自其防火墻設(shè)備、蜜網(wǎng)和合作伙伴威脅情報(bào)）顯示，2020年無(wú)文件惡意軟件所占比重相比2019年增長(zhǎng)了近9倍（888%）。報(bào)告認(rèn)為，因?yàn)闊o(wú)文件惡意軟件可以繞過(guò)傳統(tǒng)的端點(diǎn)保護(hù)，并且不需要目標(biāo)與攻擊者有過(guò)多交互就可以實(shí)現(xiàn)惡意代碼注入，并在受害者移除原始腳本的情況下維持惡意代碼的運(yùn)行，而受到攻擊者青睞，并在網(wǎng)絡(luò)攻擊中廣泛使用。

雖然有一定的營(yíng)銷(xiāo)考量，CrowdStrike在2020年年末發(fā)布的無(wú)文件攻擊白皮書(shū)，《誰(shuí)需要惡意軟件？對(duì)手如何使用無(wú)文件攻擊來(lái)規(guī)避你的安全措施》，同樣值得一提。

據(jù)CrowdStrike統(tǒng)計(jì)，每10次成功攻擊中就有8次使用了無(wú)文件攻擊技術(shù)。從攻擊者角度，這說(shuō)明了無(wú)文件攻擊的好用、有效；從安全工作角度，這說(shuō)明在當(dāng)前在全球部署的安全工具和采用的技術(shù)存在短板，安全工作存在盲區(qū)。CrowdStrike同時(shí)還認(rèn)為，基于特征碼的反病毒、機(jī)器學(xué)習(xí)、白名單（濫用）、失陷指標(biāo)（IoC）、沙箱這五個(gè)安全技術(shù)會(huì)對(duì)無(wú)文件攻擊表現(xiàn)不佳。

未知攻，焉知防。所以此篇文章，我們首先要明確無(wú)文件攻擊常見(jiàn)的攻擊方式，再介紹對(duì)應(yīng)的防護(hù)思路，最后介紹奇安信虛擬化安全管理系統(tǒng)的防護(hù)實(shí)現(xiàn)。

內(nèi)存中的隱形攻擊

不夸張的說(shuō)，無(wú)文件攻擊可以躲避當(dāng)前大多數(shù)安全工具的檢測(cè)，并給事后的取證工作帶來(lái)很大困難。運(yùn)行在內(nèi)存中的無(wú)文件攻擊，永遠(yuǎn)不會(huì)觸及硬盤(pán)，這無(wú)疑給基于惡意文件樣本分析、訓(xùn)練的安全技術(shù)，帶來(lái)巨大挑戰(zhàn)。

作為低可觀察特征的攻擊，PowerShell是較常見(jiàn)被濫用的合法工具。由命令行 shell 和相關(guān)腳本語(yǔ)言組成的PowerShell，為攻擊者提供了對(duì) Windows 中幾乎所有內(nèi)容的訪(fǎng)問(wèn)權(quán)限。雖然攻擊無(wú)需將文件下載到本地并執(zhí)行，但攻擊者仍需訪(fǎng)問(wèn)環(huán)境。

常見(jiàn)的攻擊方式包括：

• 漏洞利用（Office、SMB協(xié)議、Web漏洞等）
• 系統(tǒng)工具（如PowerShell/Shell、cscript、mshta等）
• 注冊(cè)表開(kāi)機(jī)啟動(dòng)/計(jì)劃任務(wù)（惡意代碼維持）

在實(shí)際攻擊中，這三種主要攻擊方式往往會(huì)以“組合拳”的形式出現(xiàn)。如Poweliks就采用了注冊(cè)表、PowerShell、進(jìn)程注入等多種技術(shù)手段來(lái)保證對(duì)主機(jī)隱蔽攻擊的成功。

對(duì)于無(wú)文件惡意軟件的分類(lèi)，微軟提出可以以無(wú)文件攻擊的進(jìn)入點(diǎn)和失陷主體兩個(gè)維度來(lái)進(jìn)行。按照進(jìn)入點(diǎn)的通路和形式，可以分為“無(wú)文件活動(dòng)、間接文件活動(dòng)以及需要文件來(lái)操作”三類(lèi)。按照失陷主體，可以分為漏洞利用（文件、網(wǎng)絡(luò)）、硬件（設(shè)備、CPU、BIOS、USB、Hypervisor）、執(zhí)行與注入（文件、宏、腳本、磁盤(pán)-boot）三類(lèi)。詳情見(jiàn)下圖：

無(wú)文件惡意軟件分類(lèi)示意圖

基于人工智能的行為分析不是銀彈

AI-based在近幾年成為安全產(chǎn)品的熱門(mén)標(biāo)簽。但面對(duì)無(wú)文件攻擊，人工智能顯得有些吃力。沒(méi)有基于文件的特征，運(yùn)行在內(nèi)容中，經(jīng)常濫用受信任進(jìn)程來(lái)掩蓋惡意行為，都是其難以做有效檢測(cè)發(fā)現(xiàn)的重要原因。這也是其帶給攻擊方的天然優(yōu)勢(shì)所在。更不要說(shuō)許多號(hào)稱(chēng)基于人工智能行為分析的安全產(chǎn)品，同時(shí)還需要大量專(zhuān)家的人工支撐。這無(wú)疑會(huì)延長(zhǎng)攻擊發(fā)現(xiàn)和定位的時(shí)間窗。

無(wú)文件攻擊的發(fā)現(xiàn)和防護(hù)不能依賴(lài)單一手段，我們可以根據(jù)不同攻擊方式，在最佳攻擊階段匹配相應(yīng)防護(hù)策略和能力：

• 漏洞利用：做好漏洞和補(bǔ)丁管理，以及入侵防護(hù)的策略配置，做到事前預(yù)防。
• 注冊(cè)表/計(jì)劃任務(wù)：Windows上自啟動(dòng)的注冊(cè)表，Tasks目錄下的計(jì)劃任務(wù)，Linux上crontab的定時(shí)任務(wù)目錄，都是已知無(wú)文件攻擊的重災(zāi)區(qū)，需要對(duì)上述路徑進(jìn)行針對(duì)性的實(shí)時(shí)防護(hù)和定期掃描。
• 系統(tǒng)工具：合法工具的濫用同樣是重災(zāi)區(qū)。可以在系統(tǒng)工具的啟動(dòng)和執(zhí)行階段，進(jìn)行針對(duì)性防護(hù)。如不允許未知軟件遠(yuǎn)程注入系統(tǒng)工具；系統(tǒng)工具啟動(dòng)時(shí)，需要對(duì)命令行參數(shù)、加載的DLL等進(jìn)行掃描。此外，還可以結(jié)合系統(tǒng)工具的行為，如是否訪(fǎng)問(wèn)了挖礦地址，是否有由winword.exe啟動(dòng)等有惡意傾向的行為。即使考慮對(duì)業(yè)務(wù)連續(xù)性影響，至少需要及時(shí)告警，明確有無(wú)文件攻擊風(fēng)險(xiǎn)。

奇安信虛擬化安全的無(wú)文件攻擊防護(hù)實(shí)踐

奇安信虛擬化安全管理系統(tǒng)（以下簡(jiǎn)稱(chēng)：虛擬化安全）是面向云計(jì)算或虛擬化環(huán)境的一站式安全產(chǎn)品，提供Hypervisor防護(hù)、云主機(jī)系統(tǒng)加固、惡意軟件防護(hù)、應(yīng)用程序管控等功能。無(wú)文件攻擊作為當(dāng)下惡意攻擊的“網(wǎng)紅”，自然是虛擬化安全的重點(diǎn)關(guān)注對(duì)象。

針對(duì)無(wú)文件攻擊的防護(hù)，虛擬化安全提供一系列有機(jī)組合的安全能力：

1. 通過(guò)漏掃、防暴力破解、入侵防護(hù)、基線(xiàn)配置等安全能力模塊減少遠(yuǎn)程利用漏洞進(jìn)行無(wú)文件攻擊的可能。
2. 對(duì)文件內(nèi)核以及注冊(cè)表過(guò)濾，實(shí)現(xiàn)對(duì)定時(shí)任務(wù)和開(kāi)機(jī)啟動(dòng)項(xiàng)創(chuàng)建的有效攔截。
3. 基于自研針對(duì)無(wú)文件惡意軟件及其行為的特征庫(kù)，直接對(duì)內(nèi)存進(jìn)行掃描，在內(nèi)核層實(shí)現(xiàn)阻斷并告警。
4. 針對(duì)性保護(hù)系統(tǒng)關(guān)鍵應(yīng)用，如自動(dòng)刪除應(yīng)用打開(kāi)時(shí)包含的PROCESS_VM_WRITE權(quán)限，實(shí)現(xiàn)對(duì)惡意注入的阻斷。
5. 通過(guò)內(nèi)核驅(qū)動(dòng)獲取系統(tǒng)工具進(jìn)程的路徑、命令行參數(shù)、加載的dll與so文件等信息，輔助決策，判斷是否為合法工具的濫用。
6. 集成奇安信威脅情報(bào)，針對(duì)挖礦和C2攻擊在網(wǎng)絡(luò)層實(shí)現(xiàn)阻斷。
7. 實(shí)時(shí)防護(hù)與定時(shí)（內(nèi)存）掃描相結(jié)合。

未來(lái)，虛擬化安全會(huì)繼續(xù)關(guān)注無(wú)文件攻擊的發(fā)展趨勢(shì)，提供更有效的防護(hù)手段。