"隐形恶意软件"一种新型恶意软件,正在发展中,如果它攻击了您的服务器,您可能对此无能为力。事实上,你甚至可能都看不出来它的存在。在某些情况下,看不见的恶意软件只存在于内存中,这意味着在您的磁盘上没有用于您的文件端点保护寻找软件。在其他情况下,看不见的恶意软件可能存在于您的基本输入/输出系统(BIOS)中,它可以使用几种策略之一来攻击您。在某些情况下,它甚至可能显示为固件更新,其中它将现有固件替换为受感染且几乎不可能找到或删除的版本。
“随着反恶意软件和端点检测与响应(EDR)软件的进步,可以更容易地捕获零日恶意软件,恶意软件的作者正在向堆栈的更低位置移动,”Alissa Knight说艾特集团的网络安全实践(在新窗口打开).她专门研究基于硬件的威胁。奈特说,这种新型恶意软件正在开发中,可以逃避传统软件的检测。
EDR软件比传统的AV包更先进,在捕捉攻击时更有效,该软件使用各种方法来确定攻击者何时在工作。奈特说:“EDR(软件)的开发使黑帽做出反应,并创建内核根包和固件根包,将其存储在硬件中,以便写入主引导记录。”
它还导致了虚拟根工具包的创建,它将在操作系统(OS)之前启动,从而创建一个虚拟机(VM),以便操作系统上运行的软件无法检测到恶意软件。“这使得它几乎不可能被捕获,”她说。
骗子使用税务主题的电子邮件感染恶意软件蓝色药丸恶意软件和更多
幸运的是,在服务器上安装虚拟根工具包仍然很困难,因为尝试它的攻击者通常是国家支持的攻击者。此外,至少可以检测到一些活动,并且可以停止一些活动。奈特说,“无文件恶意软件”只在内存中运行,可以通过强制关闭运行它的计算机来击败它。
但奈特也表示,这种恶意软件可能会伴随着所谓的“蓝药丸恶意软件”,这是一种虚拟根工具包,它将自己加载到虚拟机中,然后将操作系统加载到虚拟机中。这使得它可以假装关机并重新启动,同时让恶意软件继续运行。这就是为什么你不能只使用关闭选项微软Windows 10(微软商店售价139.00美元)(在新窗口打开);只有拔掉插头才能起作用。
幸运的是,其他类型的硬件攻击有时可以在进行中被检测到。奈特说,有一家公司,SentinelOne(在新窗口打开)该公司开发了一个EDR软件包,比大多数软件都更有效,有时可以检测到恶意软件何时正在攻击计算机上的BIOS或固件。
Chris Bates是SentinelOne公司产品架构的全球总监。他说,该产品的代理可以自主操作,并在需要时将信息与其他端点结合。“每个SentinelOne特工都在构建背景,”贝茨说。他说,上下文和在构建上下文时发生的事件可以用来检测恶意软件的操作。
贝茨说,每个终端都可以通过消除恶意软件或将其隔离来自行采取补救措施。但是Bates也说他的EDR包不能捕捉到所有的东西,特别是当它发生在操作系统之外的时候。在计算机启动之前重写BIOS的u盘就是一个例子。
下一阶段的准备
奈特解释说,这就是下一阶段的准备工作。她指着一个英特尔和洛克希德马丁公司的联合项目(在新窗口打开)该公司创建了一个运行在标准第二代英特尔至强可扩展处理器上的强化安全解决方案,称为“洛克希德马丁公司的英特尔强化安全选择解决方案”。这个新的解决方案旨在通过隔离关键资源并保护这些资源来防止恶意软件感染。
与此同时,英特尔还宣布了另一系列名为“硬件盾”的硬件预防措施,可以锁定BIOS。“这是一种技术,如果有某种恶意代码注入,那么BIOS可以做出回应,”斯蒂芬妮·哈尔福德解释说,副总裁兼业务客户端平台总经理英特尔(在新窗口打开).“一些版本将有能力在OS和BIOS之间通信。操作系统也可以对攻击做出响应和保护。”
不幸的是,对于保护现有的机器,您无能为力。奈特说:“你需要更换关键的服务器。”他补充说,你还需要确定你的关键数据是什么,以及它们在哪里运行。
奈特说:“英特尔和AMD将需要采取行动,将这一技术大众化。”“随着恶意软件编写人员变得越来越好,硬件供应商将需要迎头赶上,并使其价格合理。”
问题只会恶化
不幸的是,奈特说,这个问题只会变得更糟。“犯罪工具包和恶意软件工具包将变得越来越容易,”她说。
奈特补充说,大多数公司避免这一问题的唯一方法是将关键数据和流程转移到云端,因为云服务提供商可以更好地防范这类硬件攻击。“现在是转移风险的时候了,”她说。
奈特警告说,在事物发展的速度下,几乎没有时间保护你的关键数据。“这将变成一条蠕虫,”她预测道。“它将成为某种自我繁殖的蠕虫。”奈特说,这是网络战的未来。它不会永远停留在国家支持的参与者的范围内。
采取的步骤
那么,面对如此暗淡的未来,你现在能做些什么呢?以下是你应该立即采取的一些初始步骤:
如果你还没有有效的EDR软件,比如SentinelOne,那么现在就买一个。
识别您的关键数据,并在将数据所在的服务器升级到防止硬件漏洞和利用它们的漏洞的机器时,通过加密来保护它。
如果您的关键数据必须保留在内部,请将包含这些数据的服务器更换为使用硬件技术的平台,例如客户端使用硬件盾,服务器端使用洛克希德·马丁公司的英特尔强化安全选择解决方案。
只要有可能,将关键数据转移到具有受保护处理器的云提供商。
继续对员工进行良好的安全卫生培训,这样他们就不会把受感染的u盘插到你的服务器上。
确保您的物理安全性足够强,以保护服务器和网络中的其他端点。如果所有这些让您觉得安全是一场军备竞赛,那么您是正确的。
