非惡意軟件不是說(shuō)攻擊時(shí)真的不需要使用任何文件。而是攻擊者使用被攻擊主機中信任的系統程序或授權的協(xié)議來(lái)進(jìn)行的一種惡意攻擊。這種攻擊無(wú)需運行任何惡意文件，就能達到攻擊的目的。例如，攻擊者定向發(fā)送釣魚(yú)郵件，當你打開(kāi)郵件時(shí)，會(huì )調用系統可信程序，如PowerShell，執行寫(xiě)好的攻擊代碼，達到攻擊目的。攻擊的代碼只駐留在內存中，無(wú)落地文件，因此殺毒軟件不會(huì )有任何響應。杰思安全在實(shí)踐中，便遇過(guò)許多類(lèi)似的案例。例如，某省氣象局，便遇到一個(gè)利用PowerShell進(jìn)行挖礦的惡意事件，攻擊者只創(chuàng )建了一個(gè)計劃任務(wù)，調用PowerShell定期執行挖礦命令，導致業(yè)務(wù)系統卡頓，而這一切攻擊者沒(méi)留下任何可疑文件。

　　由于非惡意軟件攻擊的強大破壞力和隱蔽性，被越來(lái)越多的黑客使用。在2018年全球網(wǎng)絡(luò )攻擊中，有超過(guò)40%的攻擊者便采用了這種方式。據Malwarebytes發(fā)布的報告稱(chēng)，非惡意軟件攻擊正在迅速飆升，平均每3個(gè)感染中就有1個(gè)是非惡意軟件攻擊造成的。

　　面對如此神出鬼沒(méi)的攻擊，我們應采取哪些措施？當傳統防御手段失效時(shí)，還能利用什么方式來(lái)保護企業(yè)？如何盡快發(fā)現非惡意軟件攻擊的蹤跡？基于大量的成功實(shí)踐經(jīng)驗，杰思認為快速檢測及響應（EDR），是一個(gè)有效并可靠的辦法，能彌補傳統安全軟件的不足。用戶(hù)可以從評估、監測、響應幾個(gè)方面入手。

　　有些安全威脅能在用戶(hù)網(wǎng)絡(luò )中隱匿數月甚至數年。再隱匿的威脅，總會(huì )留下蛛絲馬跡，因而需要檢查和追蹤當前與歷史事件進(jìn)行綜合安全關(guān)聯(lián)分析。從時(shí)間軸維度，對事件發(fā)生期間主機內各項變化進(jìn)行匯總關(guān)聯(lián)分析，還原事件全貌，找出隱匿威脅。用戶(hù)必須使用能夠識別歷史攻擊跡象的工具，如可疑的文件、網(wǎng)絡(luò )訪(fǎng)問(wèn)、注冊表項、用戶(hù)登錄、異常命令等。

　　賬戶(hù)監視和管理可以通過(guò)提高工作環(huán)境的可見(jiàn)性，以檢測和防止未經(jīng)授權的訪(fǎng)問(wèn)活動(dòng)。防止由此導致的數據丟失，允許權限用戶(hù)控制數據訪(fǎng)問(wèn)權，讓用戶(hù)實(shí)時(shí)了解訪(fǎng)問(wèn)權限是否被不當授予。資產(chǎn)清點(diǎn)顯示網(wǎng)絡(luò )上正在運行的計算機，允許用戶(hù)有效部署安全體系結構，以確保沒(méi)有惡意系統在內網(wǎng)環(huán)境運行。幫助安全和IT運營(yíng)商區分環(huán)境中的托管資產(chǎn)、非托管資產(chǎn)和不可管理資產(chǎn)，并采取適當措施提高整體安全性。

　　聰明的攻擊者會(huì )利用PowerShell、svchost等系統自身進(jìn)程，執行命令行達到挖礦、操控主機等目的，此類(lèi)攻擊沒(méi)有落地的惡意程序，采用傳統的文件檢測甚至行為檢測的方式無(wú)法捕獲任何攻擊信息。可采用記錄windows系統中如cmd、PowerShell等進(jìn)程執行的命令操作，并根據異常命令規則庫判斷其是否為有威脅的異常命令，并進(jìn)行阻斷實(shí)現防御。