波耐蒙研究所一份新報告證實并量化了大多數人已知的一個事實：終端防護越來越難了，耗時更多，技術更復雜，但未必更成功。

該報告的委托方是終端防護公司Barkly，報告顯示，防御者正通過用額外的防護或響應功能，來替換或增強現有防御措施的方式，逐漸遠離主要依賴特征碼的惡意軟件防護。1/3的受訪者已替換掉了他們的現有殺毒軟件(AV)產品，半數受訪者保留了現有產品，但增補了其他防護措施。

為對抗防護措施，攻擊者以新的攻擊方法作為回擊——無文件攻擊。波耐蒙研究所指出，2017年，29%的攻擊是無文件攻擊，比2016年的20%增加了近一半，而預計到2018年，這一比例將增長至35%。

無文件攻擊不安裝可被檢測到的文件。這些攻擊利用可直接在內存執行惡意代碼或啟動腳本的漏洞，感染終端的同時不留下任何易被發現的證據。一旦某終端被侵入，此類攻擊還可濫用合法系統管理工具和進程，以實現駐留，提升權限，及在網絡內橫向移動。

報告顯示，54%的公司經歷過1次或多次破壞了數據或基礎設施的成功攻擊，這些成功攻擊中，77%利用了漏洞或無文件攻擊。雖然攻擊方法有了改變，攻擊者的最終目的還是沒變的。比如說，勒索軟件，就依然是一個主要問題。半數受訪公司在2017年經歷過勒索軟件攻擊，其中40%遭遇過多次。勒索軟件的平均贖金數額是3675美元。

這些數字表現出，壞人對新安全方法的適應速度，比好人對新攻擊方法的適應速度要快。Barkly首席技術官杰克·達納西認為，這一情況并非無可避免。“對我們來說，問題是行為上的。”因為壞人總是在混淆自身作惡行為上保持精進，而且他們也能獲取到好人在用的那些技術。“他們總是在尋求繞過整個防御的方法。”

無文件攻擊是壞人對傳統機器學習的響應。仔細審視新舊兩種終端防御產品技術，其中有一共同的因素——基于文件。它們都要求有個文件可以檢測。這就是催生出無文件攻擊的原因。

我們從一開始就知道必須專注在從行為上阻止攻擊，而不是從他們所用的惡意軟件文件上下手。我們必須找到一種方法，來在惡意軟件做出任何破壞活動之前，識別出真正低級、真正早期的行為指標，那些代表著惡意軟件正在初始化，正準備作惡的指標。

未達成此一目的，Barkly開發了一套系統，及檢查良性行為，也檢查惡性行為，且能夠分辨這兩者。這與傳統標準方法不同，因為標準方法是查找已經發生的改變或已有文件的特征，以獲悉系統中有什么不好的事情正在發生，而這就太遲了。

Barkly的最終結果，是一款SaaS產品，可以每天更新自身區分良性惡性行為的能力——采用Barkly自有的“響應式機器學習”（監督和非監督機器學習的組合）。

這就像是一個惡意行為工廠和一個良性行為工廠，由機器學習來加以區分。

波耐蒙的報告顯示，用戶對大多數現有終端產品的評價不高。每家公司平均有7種不同軟件代理運行在其終端上，耗時耗力還噪音頗多?；蛟S是因為產品數量的增加，73%的公司稱，越來越難以管理終端安全了；2/3的公司則已無充足資源來恰當管理這些安全產品。

大多數現有解決方案的最大問題，是提供不了足夠的防護。達納西對此毫不意外。

除非你能在攻擊突破并傷害客戶之前，就阻止掉基于文件和無文件兩種攻擊，否則你就不能宣稱自己可以做好終端防護。無文件攻擊的成功率，比基于文件的攻擊高10倍。

調查表明，一次成功攻擊所造成的總損失，如今已超500萬美元。“數據泄露的損失”是一個爭議性話題，因為要考慮的變數太多。波耐蒙研究所已謹慎對待其結論聞名，但達納西也同意這是一個很難講的話題。他表示：“這也是為什么我堅持‘每員工平均損失’也要被包含進來的原因。”調查中，這一數字在301美元。該數字可令小型企業更便于現實地考慮對自身的可能影響。

波耐蒙的調查結論是，公司企業可從能阻止無文件攻擊之類新威脅的終端安全解決方案中獲益，因為此類新威脅構成了當今終端數據泄露的主體。為恢復公司企業對終端安全有效性的信心，新解決方案需在不增添非必要終端管理復雜性的同時，解決這一終端防護中的關鍵差距。

完整報告：

https://cdn2.hubspot.net/hubfs/468115/Campaigns/2017-Ponemon-Report/barkly-2017-state-of-endpoint-security-risk-ponemon-institute-final.pdf?t=1511213285678