识别规避性威胁的 3 个挑战

过去，创建和部署复杂的网络攻击需要高级技术技能和决心。如今，网络犯罪已发展到包含整个 地下经济 ，其中可以购买或租用用于不法活动的工具和服务。这使得先进和高度规避性的威胁变得更加容易和普遍。规避威胁是为识别商业恶意软件分析环境（通常称为沙盒）而构建的，它会暂停恶意活动，直到不再有被检测的风险。

各组织很难识别这些极易躲避的威胁，往往也无法对其进行预防。以下是企业和安全工具在应对躲避性威胁时面临的三大挑战：

1.规避威胁有市场

安全专业人员已经开发出检测网络威胁的防御手段，如虚拟恶意软件分析环境，而威胁参与者也同时将自动化和商品硬件纳入地下网络犯罪中定义明确的 "剧本 "中。这为各种威胁参与者（从不谙世事的新手到高级攻击者和有组织的国家）轻松实施消除了障碍。因此，复杂攻击的数量和成功入侵数据的可能性都在增加。

2.传统防御不再足够

规避型恶意软件使用恶意代码来隐藏其身份和意图，从而逃避传统恶意软件分析环境的检测。攻击者会搜索恶意软件在虚拟环境中的迹象。它们会查看文件是否被引爆并观测性；缺少有效的用户活动，如点击键盘、移动鼠标或插入 U 盘；或使用虚拟化技术，如用户名、磁盘空间等。

3.开源软件弊大于利

开放源码为软件开发提供了一种革命性的方式。然而，在威胁分析方面，开放源代码却变得更加不利。大多数恶意软件分析环境都使用开放源代码，攻击者利用已知漏洞为自己谋利。此外，恶意软件作者设计的威胁能够发现和躲避流行的管理程序所使用的检测技术。

防范躲避性威胁

Palo Alto Networks^® 下一代安全平台以这三点为出发点来进行规避性威胁检测和预防。WildFire^® 威胁分析服务是该平台不可分割的一部分，其中包含静态分析、定制虚拟分析环境中的动态分析、机器学习以及用于全硬件执行的裸机分析环境。

AutoFocus^™ 上下文威胁情报服务也是下一代安全平台的一部分，它提供了必要的信息来了解攻击为何、在何处以及如何影响网络。它回答了 "谁在攻击？"等问题。"他们在使用什么工具？"以及 "这会对网络产生什么影响？"并自动对目标攻击进行优先排序。因此，分析速度更快，关联更容易，事件响应更迅速。

Palo Alto Networks^® 下一代安全平台横跨网络、云和端点，可自动预防即使是最易躲避的已知和未知恶意软件和零日威胁，且功效高，误报率几乎为零。

要了解防御规避性攻击的更多信息，请阅读 RethinkYour Strategy to Defeat Evasive Attacks 白皮书。