惡意軟件是數(shù)據(jù)泄露的重要載體。研究表明，無論是最初的入侵、在網(wǎng)絡中擴展或者是竊取數(shù)據(jù)，51％的數(shù)據(jù)泄露都使用了惡意軟件。然而，盡管惡意軟件是關鍵的攻擊矢量，企業(yè)卻無法抵御在網(wǎng)絡中肆意運行的數(shù)據(jù)竊取惡意軟件。事實上，某些規(guī)模最大、最廣為人知的數(shù)據(jù)泄露都是由未檢測到的惡意軟件造成的。

這是為什么呢？現(xiàn)代惡意軟件的出現(xiàn)就是為了規(guī)避傳統(tǒng)的惡意軟件防御措施的。當前的惡意軟件是復雜的多矢量攻擊武器，采用了一系列的規(guī)避攻擊和偽裝技術來規(guī)避檢測措施。在攻擊者和防御者的博弈中，黑客會不斷尋找始終領先現(xiàn)有防御系統(tǒng)一步的新方法。這里，我們?yōu)楦魑粴w納了5種現(xiàn)代惡意軟件常見的規(guī)避技術，以及它們是如何戰(zhàn)勝傳統(tǒng)惡意軟件防御措施的。

多態(tài)惡意軟件：許多傳統(tǒng)的惡意軟件防御措施可以針對已知的惡意軟件特征碼進行防御。現(xiàn)代的數(shù)據(jù)竊取惡意軟件可以通過不斷的偽裝或變形來解決這一點。只需簡單地改變代碼，攻擊者就可以輕松地為文件生成一個全新的二進制特征碼。變形的零日惡意軟件戰(zhàn)勝了殺毒軟件、電子郵件過濾、IPS／IDS和沙盒等基于特征碼的防御措施。

無文件惡意軟件：許多惡意軟件防御工具會通過關注靜態(tài)文件和操作系統(tǒng)（OS）進程來檢測惡意活動。然而，越來越多的攻擊者采用了只在運行時內(nèi)存中執(zhí)行的無文件惡意軟件技術，不會在目標主機上留下任何痕跡，因此對基于文件的防御措施是透明的。無文件惡意軟件戰(zhàn)勝了IPS／IDS、用戶與實體行為分析（UEBA）、殺毒軟件和沙盒。

加密有效負載：某些惡意軟件防御措施采用了內(nèi)容掃描來攔截敏感數(shù)據(jù)泄露。攻擊者會通過加密被感染主機和命令控制（C＆C）服務器之間的信息傳送來躲過這一措施。加密有效負載戰(zhàn)勝了DLP、終端檢測響應（EDR）和Web安全網(wǎng)關（SWG）。

域生成算法（DGA）：某些惡意軟件防御措施包含已知C＆C服務器的地址，可以阻斷這些服務器之間的信息傳送。然而，具備域生成功能的惡意軟件可以通過定期修改C＆C地址細節(jié)并使用未知地址來解決這個問題。戰(zhàn)勝了Web安全網(wǎng)關（SWG）、終端檢測響應（EDR）和沙盒。

主機欺詐：偽造頭文件信息可以混淆數(shù)據(jù)的真實目的地，因此可以繞過針對已知C＆C服務器地址的防御措施。戰(zhàn)勝了Web安全網(wǎng)關（SWG）、IPS／IDS和沙盒。

那么，企業(yè)要如何應對呢？其實，戰(zhàn)勝零日規(guī)避式惡意軟件并不容易，但企業(yè)可以采取下面幾個重要措施來嚴格限制這些惡意軟件的影響：

采用多層防御措施：保護企業(yè)防御規(guī)避式惡意軟件并不是一件一勞永逸的事情。相反，這是一項持續(xù)的工作，需要將端點防御（例如殺毒軟件）和防火墻、Web安全網(wǎng)關等網(wǎng)絡層防護措施結合起來。只有多層防護措施才能實現(xiàn)完全的安全覆蓋。

關注零日惡意軟件：在目前常見的惡意軟件中，零日惡意軟件占了50％�，F(xiàn)有的惡意軟件防御措施通常都無法檢測到零日惡意軟件，這是造成數(shù)據(jù)丟失的主要原因。因此，企業(yè)亟需能夠明確識別并檢測到零日惡意軟件的惡意軟件防御機制。

進行流量分析：數(shù)據(jù)竊取惡意軟件攻擊以整個網(wǎng)絡為目標，竊取敏感數(shù)據(jù)。盡管感染可能來自用戶端點，但攻擊者通常會將其擴展到網(wǎng)絡資源中。因此，惡意軟件防御解決方案不僅要關注網(wǎng)絡中的某個區(qū)域或資源類型，還要全盤考慮整個網(wǎng)絡，并分析正在發(fā)生的攻擊事件。

利用大數(shù)據(jù)：檢測零日惡意軟件的一個關鍵因素就是能夠從長期積累的海量信息中采集數(shù)據(jù)。這就使得防御者可以檢測全球范圍內(nèi)的惡意軟件活動，并將看似無關的活動關聯(lián)起來，追蹤惡意軟件的發(fā)展和演變。