什么是未知网络威胁？

大多数传统的安全产品都是基于已知威胁而构建的。他们一看到已知是恶意的东西，就会阻止它。为了躲过成功阻止已知威胁的安全产品的攻击，攻击者不得不创造一些前所未见的东西，从而增加了实施攻击的成本。他们是如何做到的，我们又该如何预防已知和未知的威胁？

让我们来看几种情况：

再生威胁

回收威胁被认为是最具成本效益的攻击方法，这就是为什么攻击者经常使用以前经过验证的技术回收现有威胁的原因。使这些回收威胁成为 "未知 "威胁的原因在于安全产品的内存有限。所有安全产品的内存都是有限的，安全小组会选择最新的威胁进行防护，希望它们能阻止大部分来袭。如果一个未被安全产品跟踪的旧威胁试图进入网络，它可能会绕过安全产品，因为它没有被归类为以前见过的威胁。

要防范这些 "未知 "的再循环威胁，关键是要能够访问威胁情报存储器，该存储器通常放置在能够大规模扩展以处理大量威胁数据的弹性云基础设施中。在安全产品没有识别和存储特定威胁的情况下，访问更大的威胁情报知识库可以帮助确定某些东西是否是恶意的，并使安全产品能够阻止它。

修改后的现行法规

这种方法比回收威胁要昂贵一些。攻击者利用现有的威胁，在威胁在网络中主动过渡时，手动或自动对代码稍作修改。这会导致多态恶意软件或多态 URL。就像病毒一样，恶意软件持续自动变形，变化迅速。如果安全产品将原始威胁识别为已知威胁，并仅根据一种变体为其创建保护，那么代码的任何细微变化都会将该威胁变为未知威胁。

有些安全产品使用哈希技术来匹配威胁，这种技术会根据一串文本生成一个完全独一无二的数字，这样就不可能得到两个完全相同的哈希值。在这种情况下，哈希值只能匹配威胁的一种变体，因此威胁的任何新变体都将被视为新的未知变体。

为了更好地防范这些威胁，安全产品需要使用多态签名。多态签名是根据流量和文件的内容和模式而不是哈希值创建的，可以识别和防范已知威胁的多种变体。将重点放在行为上，而不是固定编码的外观上，可以检测出修改后的恶意软件的模式。

新产生的威胁

更有决心并愿意投入资金的攻击者会用纯粹的新代码制造全新的威胁。网络攻击生命周期的所有方面 都必须是新的，攻击才能真正被视为以前未知的威胁。

• 关注业务行为
  防范这些新威胁要求关注您独特的业务行为和数据流。然后可以将这些信息实施到网络安全最佳实践中。举例来说，利用用户 ID 和应用程序 ID 进行细分，有助于预防新威胁在整个组织内传播，并阻止从新的、未知的和未分类的网站下载。
• 利用集体情报
  没有一个组织会经历所有的新威胁，这就是为什么能够从集体威胁情报中获益是如此重要。通过全球信息共享，未知的、从未见过的有针对性的攻击威胁很快就会为人所知。当一个组织分析和检测到新威胁时，新发现的威胁信息可以在整个社区传播，并提前部署缓解措施，以限制攻击的传播和效果。

将未知威胁转化为已知威胁，并积极预防这些威胁，是在综合环境中发生的。首先，您需要预测下一个攻击步骤和位置。其次，您需要能够快速开发并向执行点提供保护，以阻止其发生。

自动保护

当真正的新威胁进入你的组织时，第一道防线就是拥有针对组织的网络安全最佳实践。同时，您应该发送未知文件和 URL 以供分析。沙箱分析的有效性取决于对未知威胁提供准确判断以及在整个组织内创建和实施保护所需的时间，也取决于您的沙箱环境如何处理逃避性威胁。您需要快速改变安全态势，以便在威胁发展之前就将其阻挡在外，换句话说，就是尽快改变安全态势。而要确保这种威胁不会进一步穿越网络，就需要在所有安全产品中自动创建和实施预防措施，速度要比威胁扩散的速度更快。

SANS 最近的一项调查报告显示，40% 的攻击具有以前未知的元素。检测未知威胁和预防成功攻击的能力决定了安全部署的有效性。真正的 下一代安全平台 非常灵活，能在全球范围内迅速将未知威胁转化为已知的保护和预防。自动共享新的威胁数据，同时将新的保护措施扩展到整个组织，阻止攻击蔓延。