讓人不禁發出疑惑：為什么我的殺毒軟件不管用了？是裝得不夠多，還是殺毒軟件不夠強？

也許，我們該換種思路來看待這個問題了。

殺毒軟件只能針對落盤文件進行檢測，但在這個時代，高級威脅攻擊已變成主流手段。

猶記13年前肆虐網絡的“熊貓燒香”病毒，始作俑者是當時的“技術天才”，初衷只是給自己找存在感；再看后來風起云涌的APT組織，神秘之余更多是為了潛伏、竊密而生，瞄準的都是足夠大型的企事業單位。

而如今，高級威脅攻擊早已不是“專業高手”的專屬。黑產灰產帶來的暴利，讓心懷不軌的人都趨之若鶩；被潛伏、竊密、勒索也不再只是大型企業的“獨有待遇”，無差別化攻擊逐漸變成一種趨勢。

為了能“干一單，吃三年”，原本需要高投入高技術的APT攻擊手段，開始“產業化”，有行之有效的攻擊流程和工具，加上ChatGPT的出現和應用，不懂技術的“小白”也可以快速上手高級攻擊手法，做出自己的“業績”。

面對如此低成本、規?；?ldquo;專業”對手，只能判斷落盤文件的殺毒軟件自然難以招架。

道高一尺魔高一丈，殺毒軟件的檢測機制在不斷優化完善，但為了達成目的，攻擊者們也在不斷研究新的攻擊技術，以躲避和對抗安全檢測機制，也就是大家熟知的“高級威脅攻擊”手法。

什么是高級威脅攻擊？我們用三個常見的場景來看。

某公司HR收到了一封應聘者發來的郵件，點開了附件簡歷也沒有任何異常之處，卻渾然不知自己的電腦已被攻擊者所控制，并且殺毒軟件沒有任何告警，隨之而來的就是公司核心數據被加密。這是為什么？

1、免殺：殺毒軟件無法檢測，且放行后不再關注；

2、白利用（無文件攻擊）：在殺毒軟件白名單內，殺毒軟件無法檢測到。

當某臺PC失陷后，攻擊者為獲取更有價值的數據會進行橫向擴散，往往悄無聲息就把服務器拿下，這個過程中，為什么殺毒軟件也毫無察覺？

白利用（無文件攻擊）：殺毒軟件無法檢測，且放行后不再關注。

某公司的OA系統被爆存在漏洞，作為公司PC端的標配，攻擊者利用該漏洞上傳了Webshell獲得了控制權進行了一系列操作，用戶要么淹沒在大量告警中，要么根本檢測不到，期間安全軟件形同虛設，毫無招架之力。

內存馬（無文件攻擊）：采用內存馬手段，在內存中寫入Webshell，躲避文件檢測。

通過以上場景不難看出，高級威脅攻擊不是簡單的“投毒”，而是有目的、有思考的攻擊行為，會想方設法繞開或迷惑安全防護軟件的檢測。

根據Ponemon Institute統計，2020年68%的成功攻擊依賴于無文件攻擊技術，在這些攻擊過程中，傳統殺毒的檢測方法都將失效。

根據WatchGuard統計，2021年第一季度，74%的惡意文件為0day文件，這意味著，傳統殺毒僅能發現少數惡意文件。

在高級威脅攻勢下，殺毒軟件自然只能“無奈摸魚”了。

經過上面的分析，高級威脅攻擊已經成為了針對端的主要攻擊手法，即使殺毒軟件的特征庫做到“史上最全”，可快速查殺文件，卻常常還會因為攻擊者在端點上設置了定時任務或啟動項，定時生成新的進程發起惡意行為，導致處置完后又會出現同樣的告警，在安全最后一公里的閉環上“反復橫跳”，找不到根因。

端點安全需要的不是“更快的馬”，而是更新換代的“汽車”。

作為國內唯一的連續3年滿分通過AV-TEST測評的廠商，深信服的終端防護軟件在檢測能力、性能消耗和可用性一直表現突出?；诙嗄甑某恋砗头e累，并致力于讓用戶的安全領先一步，深信服敏銳捕捉到了用戶對下一代端點安全的需求，端點安全產品即將迎來全面、重磅的升級，敬請期待！