فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الÙيديو Øتى يراه كل Ø§Ù„Ø (سبتمبر 2024)
تعد البرامج الضارة المستندة إلى الويب أفضل في تجاوز دفاعات الأمان التقليدية من البرامج الضارة التي تنقلها البريد الإلكتروني ، وفقًا لشبكات Palo Alto.
على الرغم من أن البريد الإلكتروني لا يزال مصدرًا رئيسيًا للبرامج الضارة ، إلا أن الغالبية العظمى من البرامج الضارة غير المعروفة يتم دفعها عبر تطبيقات الويب ، كما وجدت Palo Alto Networks في تقرير Modern Malware Review الصادر الاثنين. جاء ما يقرب من 90 بالمائة من مستخدمي "البرامج الضارة غير المعروفة" التي تمت مواجهتها من تصفح الويب ، مقارنةً بنسبة 2 بالمائة فقط الواردة من البريد الإلكتروني.
وأشارت "بالو ألتو نتووركس" في التقرير إلى أن "البرمجيات الخبيثة غير المعروفة" الواردة في هذا التقرير تشير إلى عينات خبيثة اكتشفتها خدمة وايلد فاير السحابية للشركة والتي فقدت ستة من منتجات مكافحة الفيروسات الرائدة في الصناعة. قام الباحثون بتحليل البيانات من أكثر من 1000 عميل قاموا بنشر جدار حماية الشركة من الجيل التالي واشتركوا في خدمة Wildfire الاختيارية. من بين 68،047 عينة تم تمييزها بواسطة WildFire على أنها برامج ضارة ، لم يتم اكتشاف 26،363 عينة ، أو 40 بالمائة ، بواسطة منتجات مكافحة الفيروسات.
وقالت بالو ألتو نتووركس: "يأتي حجم هائل من البرامج الضارة غير المعروفة من مصادر على شبكة الإنترنت ، وأصبحت منتجات AV التقليدية أفضل بكثير في الحماية من البرامج الضارة المقدمة عبر البريد الإلكتروني".
الكثير من الجهد لتبقى غير مكتشفة
وجدت Palo Alto Networks أن "ذكاء البرمجيات الخبيثة يخصص بدرجة كبيرة للبقاء غير مكتشفة بواسطة الأدوات الأمنية. لاحظ الباحثون أكثر من 30 سلوكًا مخصصًا للمساعدة في تجنب البرامج الضارة ، مثل "النوم" للبرامج الضارة لفترة طويلة بعد الإصابة الأولية ، وتعطيل أدوات الأمان وعمليات نظام التشغيل. في الواقع ، من بين قائمة أنشطة البرمجيات الخبيثة والسلوكيات التي لاحظتها Palo Alto Networks ، ركز 52 بالمائة على التهرب من الأمان ، مقارنة بـ 15 بالمائة والتي ركزت على القرصنة وسرقة البيانات ، وفقًا للتقرير.
أشارت تقارير سابقة من بائعين آخرين إلى العدد الكبير من البرامج الضارة غير المعروفة للقول بأن منتجات مكافحة الفيروسات لم تكن فعالة في الحفاظ على أمان المستخدمين. قالت Palo Alto Networks إن الهدف من التقرير لم يكن استدعاء منتجات مكافحة الفيروسات لعدم اكتشاف هذه العينات ، ولكن تحديد القواسم المشتركة في عينات البرامج الضارة التي يمكن استخدامها للكشف عن التهديدات أثناء انتظار ظهور منتجات مكافحة الفيروسات.
وجدت ما يقرب من 70 في المئة من العينات غير المعروفة "معرفات أو سلوكيات مميزة" والتي يمكن استخدامها في الوقت الحقيقي للتحكم والحجب ، وجدت بالو ألتو نتوركس في تقريرها. شملت السلوكيات حركة المرور المخصصة الناتجة عن البرامج الضارة وكذلك الوجهات البعيدة التي اتصلت بها البرامج الضارة. وجد التقرير أن حوالي 33 بالمائة من العينات كانت تتصل بالمجالات المسجلة حديثًا ، والمجالات التي تستخدم DNS الديناميكي ، بينما حاول 20 بالمائة إرسال رسائل إلكترونية ، يستخدم المهاجمون في كثير من الأحيان DNS الديناميكي لإنشاء مجالات مخصصة على الطاير والتي يمكن التخلي عنها بسهولة عندما تبدأ المنتجات الأمنية في إدراجها في القائمة السوداء.
استخدم المهاجمون أيضًا منافذ الويب غير القياسية ، مثل إرسال حركة مرور غير مشفرة على المنفذ 443 ، أو استخدام منافذ أخرى غير 80 لإرسال حركة مرور الويب. يستخدم FTP بشكل عام المنفذين 20 و 21 ، لكن التقرير وجد برامج ضارة تستخدم 237 منفذًا آخر لإرسال حركة مرور FTP.
تأخير الكشف عن البرامج الضارة
استغرق موردو برامج مكافحة الفيروسات خمسة أيام في المتوسط لتسليم التواقيع لعينات من البرامج الضارة غير المعروفة التي تم اكتشافها عبر البريد الإلكتروني ، مقارنة بحوالي 20 يومًا للعينات المستندة إلى الويب. وجدت شركة بالو ألتو نتووركس أن بروتوكول نقل الملفات هو المصدر الرابع لبرامج ضارة غير معروفة ، ولكن ما يقرب من 95 في المئة من العينات لم يتم اكتشافها بعد 31 يومًا. ووجد التقرير أن البرمجيات الخبيثة التي يتم توصيلها عبر وسائل التواصل الاجتماعي لها أشكال مختلفة ظلت غير مكتشفة من الفيروسات لمدة 30 يومًا أو أكثر.
وخلص التقرير إلى أن "حلول AV التقليدية ليست أقل عرضة للكشف عن البرامج الضارة خارج البريد الإلكتروني فحسب ، بل إنها تحتاج أيضًا إلى وقت أطول للحصول على التغطية".
وقالت بالو ألتو نتووركس إن الاختلافات في حجم العينة أثرت في مدى فعالية مكافحة الفيروسات في اكتشاف البرامج الضارة. بالنسبة للتهديدات التي تنقلها البريد الإلكتروني ، غالبًا ما يتم تسليم نفس البرامج الضارة إلى العديد من الأهداف ، مما يزيد من احتمال قيام بائع برامج مكافحة الفيروسات باكتشاف الملف وتحليله. في المقابل ، تستخدم خوادم الويب تعدد الأشكال من جانب الخادم لتخصيص الملف الضار في كل مرة يتم فيها تحميل صفحة الويب الهجومية ، مما يخلق عددًا أكبر من العينات الفريدة ويجعل من الصعب اكتشاف العينات. حقيقة أن البريد الإلكتروني لا يحتاج أيضًا إلى التسليم في الوقت الفعلي يعني أن أدوات مكافحة البرامج الضارة لديها الوقت لتحليل وفحص الملفات. الويب "أكثر في الوقت الفعلي" ، ويمنح أدوات الأمان "وقتًا أقل بكثير لفحص" الملفات الضارة قبل تسليمها إلى المستخدم.
"نعتقد أن من الضروري للشركات أن تقلل من الحجم الكلي للعدوى من أنواع مختلفة من البرامج الضارة المعروفة ، بحيث يكون لدى فرق الأمن الوقت للتركيز على التهديدات الأكثر خطورة واستهدافًا" ، وفقًا للتقرير.
