Розширена техніка обходу систем безпеки.
Визначення AET
Розширена техніка ухилення (AET) є складним методом, який застосовують кіберзлочинці для обходу систем безпеки та доставки шкідливих навантажень без виявлення. AET використовують різні тактики для обфускації справжньої природи атаки, що ускладнює її виявлення традиційними методами, заснованими на сигнатурах.
Як працює AET
AET використовує кілька технік для уникнення виявлення та доставки своїх навантажень:
1. Обфускація
Однією з основних тактик, що використовуються AET, є обфускація, коли атакуючі маніпулюють або шифрують код шкідливого програмного забезпечення, щоб уникнути виявлення на основі сигнатур. Змінюючи структуру коду або використовуючи методи шифрування, AET можуть зробити шкідливе ПЗ виглядати безневинним і не виявлятися системами безпеки.
2. Маніпуляція з протоколами
AET також використовують техніки маніпуляції з протоколами для уникнення виявлення захисними заходами, такими як глибока перевірка пакетів. Це включає зміну мережевих протоколів, заголовків пакетів або вмісту навантажень, що ускладнює для систем безпеки ідентифікацію та переривання шкідливих дій.
3. Фрагментація трафіку
Ще одна тактика ухилення, що використовується AET, - це фрагментація трафіку. Розподіляючи шкідливий трафік на декілька пакетів, AET можуть уникнути співпадіння шаблонів і ускладнити для систем безпеки збирання шкідливого вмісту на кінцевому пункті. Ця техніка фрагментації допомагає їм обійти системи інспекції та доставити свої навантаження непоміченими.
4. Поліморфізм
Поліморфізм є ще однією технікою, яку використовують AET для уникнення виявлення. У цьому методі шкідливе ПЗ постійно змінює свій вигляд, змінюючи свій основний код або структуру. Таким чином, AET можуть створювати нові варіації шкідливого ПЗ, які не можуть бути виявлені традиційними методами, заснованими на сигнатурах. Здатність змінювати свій код робить AET невловимими та високоефективними при ухиленні від систем безпеки, що покладаються тільки на відомі сигнатури.
Поради щодо запобігання
Для захисту від розширених технік ухилення важливо впроваджувати проактивні заходи безпеки. Ось кілька порад щодо запобігання:
1. Використовуйте виявлення на основі поведінки
Замість того, щоб покладатися тільки на виявлення на основі сигнатур, рекомендується впроваджувати рішення безпеки, які аналізують поведінку файлів та мережевих активностей. Цей підхід може допомогти ідентифікувати та блокувати AET на основі їхніх поведінкових шаблонів, навіть коли конкретні сигнатури ще не відомі. Виявлення на основі поведінки може забезпечити більш ефективний захист від AET, оскільки воно фокусується на виявленні дій та намірів файл або мережевого трафіку, а не на відомих сигнатурах.
2. Регулярне оновлення систем безпеки
Регулярне оновлення систем виявлення та запобігання вторгнень є вирішальним для виявлення та блокування нових технік ухилення. Постачальники безпеки часто оновлюють свої системи, включаючи найновішу інформацію про загрози, включаючи відомі шаблони та поведінки AET. Регулярним оновленням систем безпеки організації можуть забезпечити себе найновішими захисними засобами від нових AET.
3. Використовуйте сегментацію мережі
Сегментація мережі є ефективною стратегією для зменшення впливу AET. Ізолюючи критичні системи та відокремлюючи їх від менш захищених зон, організації можуть обмежити потенційні загрози. Якщо AET вдається обійти один шар захисту, сегментація мережі може обмежити латеральний рух атаки та запобігти її поширенню по всій мережі.
Схожі терміни
Система виявлення вторгнень (IDS): IDS - це рішення з безпеки, яке моніторить мережеві або системні активності на предмет шкідливих дій або порушень політики. Воно аналізує мережевий трафік та повідомляє системних адміністраторів або персонал з безпеки, якщо виявляє будь-які підозрілі або потенційно небезпечні дії.
Поліморфне шкідливе ПЗ: Поліморфне шкідливе ПЗ - це тип шкідливого програмного забезпечення, яке змінює свій основний код або структуру для уникнення виявлення традиційними антивірусними рішеннями. Постійно змінюючи свій вигляд, поліморфне шкідливе ПЗ може обійти механізми виявлення на основі сигнатур, які покладаються на відомі вірусні сигнатури.