预防规避性威胁的 3 种方法

攻击者不断 重复使用、修改或创建全新的 恶意软件，导致大量恶意软件以组织为目标。这也使攻击者能够集中精力开发更多具有高度规避性的威胁，这些威胁专为检测恶意软件分析环境而构建，并停止恶意活动，直到它们不再被分析为止。与此同时，各组织既要努力应对大量的恶意软件，又要识别和预防复杂的攻击。

对躲避威胁的检测面临多重挑战。躲避性威胁会搜索有效的用户活动和虚拟化技术指标，并暂停恶意活动，直到不再有被识别的风险。他们利用开源软件中的已知漏洞，并搜索流行的管理程序所使用的检测技术。因此，它们正变得高度商品化，从而得到更普遍的使用。

必须重新思考用于检测这种现代恶意软件的策略。以下是安全工具在帮助识别并最终预防规避性威胁方面必须做到的三件关键事情。

1.使用专用虚拟分析

要检测高度规避的恶意软件，可使用专门构建的虚拟分析环境，该环境集成了独特的管理程序和仿真器，不依赖开源或专有软件。这种环境不应显示出会向攻击者泄露他们已被发现或恶意软件行为正被可观测性的特征。

2.采用裸机分析

使用虚拟环境进行恶意软件分析是不可避免的。不过，在虚拟环境中显示规避技术的样本也应在真实硬件系统（也称为裸机分析环境）上引爆。为避免引起攻击者的怀疑，应在没有人为干预的情况下将可疑文件动态导向裸机环境。

3.纳入威胁情报

为了应对 地下经济中不断涌现的高度规避性威胁，组织应将高度情景化和可操作的威胁情报纳入其安全防御系统。

威胁情报应来自多个来源，并进行关联和验证，以了解必要的背景情况。如果没有适当的背景资料，威胁情报只会用大量的原始入侵指标来增加噪音。结果是误报和漏报增加，要求安全人员采取任何可操作的应对措施。此外，将威胁情报与虚拟分析环境相结合，可以实现快速、自动的预防，最大限度地减少对额外专业人员的需求。

一个平台上的反入侵分析和上下文威胁情报

Palo Alto Networks Next-Generation Security Platform（Palo Alto 网络下一代安全平台）可在网络、云和端点上自动检测和预防即使是最难以规避的威胁。WildFire^® 威胁分析服务是该平台不可分割的一部分，它整合了多种技术，用于防规避恶意软件分析和自动预防--静态分析、通过定制的虚拟分析环境进行动态分析、机器学习，以及在真实硬件上全面执行的裸机环境。

AutoFocus^™ 上下文威胁情报服务也是该平台的一部分，它可提供必要的信息，以了解攻击为何、在何处以及如何影响网络。它回答了 "谁在攻击？"等问题。"他们在使用什么工具？"以及 "这会对网络产生什么影响？"并自动对目标攻击进行优先排序。其结果是更快的分析、更容易的关联和快速的事件响应，最终减少对额外 IT 专业安全资源的需求。

要了解防御规避性攻击的更多信息，请阅读 Rethink Your Strategy to Defeat Evasive Attacks 白皮书。