采納了數字化的公司企業不僅僅更加敏捷，還大幅優化了預算，提升了競爭力。但在整體表現上升的同時，這些新技術的采納，也擴大了攻擊界面，讓網絡罪犯可以利用來部署威脅，破壞公司整體安全狀態。

傳統威脅要么作為獨立應用，在受害者機器上悄悄運行；要么破壞現有應用完整性，改變它們的行為。此類威脅通常被稱為基于文件的惡意軟件，傳統終端防護解決方案已經集成了磁盤文件掃描功能，可以在文件執行之前加以阻斷。

基于文件 vs 無文件

最常見的幾種攻擊技術里，受害者可能會下載惡意程序，該惡意程序就在后臺靜默執行，跟蹤用戶行為；或者利用主機上常見軟件的漏洞，以便可以秘密下載額外的組件，在受害者毫無所覺的情況下執行之。

傳統威脅在執行惡意代碼之前，必須將代碼寫入受害主機磁盤。基于特征碼的檢測就是基于此而存在的，因為該技術可發現已知惡意程序，并阻止其寫入磁盤或在主機上執行。然而，新的機制，比如加密、混淆和多態，已將傳統檢測技術甩在身后，因為網絡罪犯不僅可以操縱文件在每臺受害主機上的形態，還能讓安全掃描引擎難以分析其中代碼。

傳統基于文件的惡意軟件，通常用于獲取對操作系統及其程序的未授權訪問，往往會創建或釋放帶不同功能的額外文件及依賴，比如.dll、.sys或.exe文件。如果獲得了有效數字證書，此類惡意軟件還能避免觸發任何基于文件的傳統終端安全技術，將自身安裝成驅動程序或rootkit，獲得操作系統的完全控制權。個中代表，就是大名鼎鼎的震網病毒，滲透特定目標的同時還有長期駐留能力。該惡意軟件經過了數字簽名，有各種模塊，能夠從一臺受害主機秘密擴散到另一臺，直至抵達最終既定目標。

在惡意代碼執行方式和傳統文件掃描技術規避方式上，無文件惡意軟件與基于文件的惡意軟件完全不同。正如其名稱所顯示的，無文件惡意軟件不涉及任何磁盤文件寫入操作就能執行。惡意代碼直接在受害計算機內存中執行，意味著系統重啟后惡意代碼就不復存在。但是，網絡罪犯還采用了各種技術，將無文件的能力與駐留功能結合。比如說，惡意代碼放到注冊表中，就能隨Windows重啟而啟動，既隱蔽又長久。

利用注冊表的無文件惡意軟件，還常常會使用腳本、shellcode，甚至加密二進制文件——因為傳統終端安全機制通常缺乏仔細檢查腳本的能力。由于傳統終端安全掃描工具和技術，大多專注在已知及未知惡意軟件樣本的靜態文件分析上，無文件攻擊就能在相當長的時期內不被發現。

基于文件的惡意軟件和無文件惡意軟件的主要區別，在于其組件的存儲及執行的位置和方式。由于網絡罪犯已能繞過文件掃描技術并保持駐留和隱秘性，無文件惡意軟件的流行度逐年上升。

投放機制

雖然兩種攻擊類型都依賴同樣的投放機制，比如被感染的電子郵件附件，或者利用瀏覽器或常用軟件漏洞的偷渡式下載；無文件惡意軟件卻往往基于腳本，且能利用現有合法應用程序來執行指令。比如說，附在惡意Word文檔中的PowerShell腳本，就能被Windows原生工具PowerShell自動執行。其指令可以將受害系統的詳細信息發給攻擊者，或者下載本地傳統安全解決方案檢測不到的經混淆攻擊載荷。

其他可能案例還包括惡意URL：一旦點擊，就會重定向用戶到利用Java漏洞執行PowerShell腳本的網站。因為腳本本身僅僅是一系列合法指令——就算這些指令可能下載并在內存中直接執行二進制代碼，那也是合法指令；傳統文件掃描式終端安全機制就不會檢測此類威脅。

這種神出鬼沒的威脅往往針對特定組織和公司，秘密滲漏數據。

下一代終端防護平臺

下一代終端防護平臺，通常指的是將分層安全——也就是基于文件的掃描和行為監視，與機器學習技術和威脅檢測沙箱技術結合到一起的安全解決方案。某些技術只依賴機器學習算法作為單獨一層防御。其他終端防護平臺，則使用涉及多個機器學習強化安全層的檢測技術。此類情況下，算法就集中在檢測高級復雜威脅的執行前、執行中和執行后三個階段的表現。

當下常見的錯誤之一，是將機器學習作為能檢測任何類型威脅的獨立安全層來看待。依賴僅采用機器學習的終端防護平臺，強化不了企業的整體安全態勢。

機器學習算法是用來強化安全層的，不是要替代它們。比如說，垃圾郵件過濾，就可以通過使用機器學習模型來予以增強，對基于文件的惡意軟件的檢測，也可以使用機器學習來評估未知文件是否惡意。

無特征碼安全層用于提供防護、可見性和控制——在預防、檢測和封鎖任何類型威脅的意義上。考慮到新攻擊方法，強烈建議下一代終端安全平臺能抵御利用未修復已知漏洞的攻擊工具及技術，當然，已知漏洞更要能防護住。

需要指出的是，傳統基于特征碼的技術尚未死亡，也不應該被拋棄。它們是很重要的一個安全層，因為它們可以快速準確地驗證文件是否惡意。特征碼、行為分析和機器學習安全層的融合，可以打造出全面的安全解決方案，不僅能夠處理已知惡意軟件，還能對付未知威脅，可大幅提升企業的整體安全態勢。這種安全技術的全面整合，不僅僅可以增加網絡罪犯的攻擊成本，還能讓安全團隊深入了解自家企業常被哪些類型的威脅盯上，又該怎樣準確地進行緩解。