研究人員日前發(fā)現(xiàn)，HEAT（Highly Evasive Adaptive Threat）是一種具備高度規(guī)避性的自適應(yīng)新威脅，它使用多種技術(shù)，專門規(guī)避當前安全架構(gòu)中多層機制的檢測。

在疫情防控常態(tài)化趨勢下，越來越多的企業(yè)開啟遠程辦公模式，企業(yè)“上云”成為驅(qū)動流程創(chuàng)新和業(yè)務(wù)創(chuàng)新的主流方式。為了對遠程模式的員工下手，網(wǎng)絡(luò)犯罪分子經(jīng)常通過網(wǎng)絡(luò)釣魚或魚叉式網(wǎng)絡(luò)釣魚電子郵件發(fā)送惡意鏈接。雖然這種簡單的攻擊策略很有效，但攻擊者一直在改變攻擊方法，并尋找新的攻擊途徑，企圖保持領(lǐng)先一步實施攻擊。

高度規(guī)避性自適應(yīng)威脅HEAT使用多種技術(shù)，專門規(guī)避當前安全架構(gòu)中多層機制的檢測，這種威脅投遞惡意軟件或竊取登錄信息，為盜竊數(shù)據(jù)、隱形監(jiān)控、接管賬戶和植入勒索軟件有效載荷創(chuàng)造條件。

HEAT攻擊者利用以下四種規(guī)避技術(shù)繞過傳統(tǒng)網(wǎng)絡(luò)安全防御。

•規(guī)避靜態(tài)內(nèi)容檢查和動態(tài)內(nèi)容檢查：HEAT攻擊規(guī)避特征和行為分析引擎，使用HTML走私（HTML smuggling）之類的新穎技術(shù)，向受害者投遞惡意有效載荷。

•規(guī)避惡意鏈接分析：在電子郵件路徑中，企業(yè)常?？梢栽趷阂怄溄拥诌_用戶之前分析鏈接，然而，HEAT威脅規(guī)避了歷來在電子郵件路徑中實施的惡意鏈接分析引擎。

•規(guī)避離線分類和威脅檢測：HEAT攻擊闖入良性網(wǎng)站，或不遺余力地創(chuàng)建新網(wǎng)站（名為“Good2Bad”網(wǎng)站），并從這些網(wǎng)站投遞惡意軟件，從而繞過Web分類機制。研究人員發(fā)現(xiàn)，從2020年到2021年，Good2Bad網(wǎng)站的數(shù)量增加了137%以上。

•規(guī)避HTTP流量檢查：在HEAT攻擊中，包括瀏覽器漏洞、加密貨幣代碼、網(wǎng)絡(luò)釣魚工具包代碼和冒充知名品牌徽標的圖像等在內(nèi)的惡意內(nèi)容，由瀏覽器中的JavaScript通過渲染引擎生成，在這種情況下，檢測技術(shù)顯得毫無用處。

HEAT攻擊現(xiàn)被包括Nobelium（SolarWinds攻擊背后的團伙）在內(nèi)的知名威脅團伙所利用，且呈愈演愈烈之勢。事實上，Menlo Labs研究團隊觀察到，僅在2021年下半年，HEAT攻擊就猛增了224%。鑒于最終用戶會有75%的工作時間花在瀏覽器上，這種高度規(guī)避性攻擊的數(shù)量和復(fù)雜度會隨之飆升，企業(yè)有必要對這種攻擊做好針對性防御。

全球數(shù)百萬企業(yè)和個人依靠瀏覽器來執(zhí)行大部分工作和私人事務(wù)，隨著遠程辦公的蔚然成風，加上威脅技術(shù)的迅猛發(fā)展，這種攻擊已成為當今企業(yè)面臨的最大威脅之一。此外，由于HEAT攻擊隱藏在合法使用的背后，包括安全Web網(wǎng)關(guān)、沙盒、URL信譽和過濾在內(nèi)的傳統(tǒng)安全功能對這種類型的攻擊毫無作用。僅僅阻止它們行不通。相反，企業(yè)必須能夠防范這些技術(shù)的惡意使用，才能有效地保護自身。

企業(yè)不僅需要與時俱進，實施針對復(fù)雜威脅的安全策略和功能，還要改變觀念，才能保護企業(yè)免受未來黑客的攻擊。為了保護網(wǎng)絡(luò)，安全領(lǐng)導(dǎo)者和業(yè)務(wù)領(lǐng)導(dǎo)者須改變注重檢測和補救的觀念，轉(zhuǎn)而采取一種基于零信任架構(gòu)的預(yù)防性安全方法，并采用安全訪問服務(wù)邊緣（SASE）框架，以保護遠程混合員工隊伍。只有在靠近最終用戶、應(yīng)用程序和數(shù)據(jù)的地方采取安全措施，才能取得良好的效果。

威脅在不斷變化，黑客也變得越來越高明，所有企業(yè)成為受害者的風險比以往更大。有一點可以肯定：安全領(lǐng)導(dǎo)者必須保持靈活，確保安全架構(gòu)與時俱進以防止攻擊發(fā)生，并且落實具體的計劃，以防不時之需。只有防止網(wǎng)絡(luò)犯罪分子接近其覬覦的網(wǎng)絡(luò)、應(yīng)用程序和設(shè)備，企業(yè)才能確保資源不受感染，從而讓安全運營團隊更專注于其他可能影響更大的威脅。