Báo cáo: Các công ty trải nghiệm sự kiện phần mềm độc hại sau ba phút

Các tổ chức phải đối mặt với các sự kiện liên quan đến phần mềm độc hại vượt qua các công nghệ phòng thủ truyền thống trên mạng của họ cứ ba phút một lần, theo một báo cáo mới được công bố bởi nhà cung cấp bảo mật FireEye. Hoạt động này có thể bao gồm việc nhận email độc hại, người dùng nhấp vào liên kết trên trang web bị nhiễm hoặc máy bị nhiễm thực hiện gọi lại đến máy chủ điều khiển và lệnh ", công ty cho biết trong báo cáo của mình. trên dữ liệu được thu thập trong nửa cuối năm 2012 bởi hàng nghìn thiết bị an ninh FireEye được cài đặt trên các mạng công ty trên toàn thế giới, công ty cho biết. FireEye cho biết, các thiết bị này thường được triển khai phía sau tường lửa mạng, các hệ thống ngăn chặn xâm nhập và các sản phẩm bảo mật cổng khác, cho phép họ xem hoạt động độc hại đã vượt qua thành công các phòng thủ chính này.

Các nhà văn Malware đang ngày càng tập trung vào việc phát triển các phương pháp để tránh bị phát hiện, các nhà nghiên cứu của FireEye cho biết trong báo cáo. Một ví dụ là phần mềm độc hại nằm không hoạt động cho đến khi phát hiện tương tác của con người với hệ thống đích thông qua sự hiện diện của các cú click chuột.

Phương pháp này được sử dụng để bỏ qua các hệ thống phân tích tự động, được gọi là sandbox, được sử dụng bởi các sản phẩm bảo mật phân tích hành vi của các tệp đáng ngờ. Kể từ khi chúng được tự động hóa, các hệ thống này không kích hoạt các lệnh chuột, các nhà nghiên cứu của FireEye nói.

Một xu hướng ngày càng tăng là các tệp phần mềm độc hại được ký với chứng chỉ kỹ thuật số bị đánh cắp hoặc giả mạo. Nhiều nhà nghiên cứu của FireEye cho biết, nhiều công nghệ bảo mật đã tin tưởng các tập tin được ký điện tử và không quét chúng, các nhà nghiên cứu của FireEye cho biết.) có thể được sideloaded thông qua các chương trình hợp pháp. APTs chủ yếu được phân phối thông qua email giả mạo mang theo các tệp đính kèm độc hại hoặc bao gồm các liên kết đến các trang web phân phối khai thác. Tệp đính kèm độc hại và khai thác dựa trên web được sử dụng như phương pháp lây nhiễm thường xuyên, nhưng một số sự kiện nhất định có thể dẫn đến đột biến về mức sử dụng của chúng.

Ví dụ: nếu tìm thấy một khai thác mới cho Adobe Reader, các tổ chức sẽ thấy tăng đột biến email mang tệp đính kèm PDF độc hại. Tương tự như vậy, nếu một phát hiện dựa trên trình duyệt được phát hiện, sẽ có một sự tăng đột biến trong các email mang các liên kết độc hại, FireEye cho biết.

Dữ liệu được phân tích bởi FireEye, bao gồm 89 triệu sự kiện độc hại, cho thấy các công ty công nghệ thường xuyên bị tấn công nhất. các tổ chức. "Do có sự tập trung cao về sở hữu trí tuệ, các công ty công nghệ bị tấn công bởi các chiến dịch phần mềm độc hại dữ dội, gần gấp đôi so với ngành dọc gần nhất", công ty cho biết. Các lĩnh vực viễn thông, hậu cần và giao thông vận tải, sản xuất và dịch vụ tài chính hoàn thành năm ngành dọc được nhắm mục tiêu nhiều nhất.