無文件攻擊比基于惡意軟件的傳統威脅更容易實施也更有效，因而給公司企業的安全防護帶來了更大的挑戰。

網絡罪犯自然會尋找阻力最小的途徑實施攻擊，這也正是越來越多的網絡罪犯采用無文件攻擊的原因所在。隨著攻擊者對該攻擊手法的應用越來越得心應手，企業雇員越來越依賴移動設備和云來開展工作，無文件攻擊的威脅也越來越大了。

無文件攻擊也就是非惡意軟件攻擊，是一種可以讓攻擊者省去傳統惡意軟件攻擊所需步驟的攻擊手法。他們不用創建攻擊載荷，只需簡單地利用可信程序獲取內存訪問即可。2017年，利用PowerShell或WMI的無文件攻擊占了全年攻擊總數的52%。

盡管如此，企業依然沒有對無文件攻擊投以足夠的關注。大多數人對網絡安全行業的認知依然停留在打了多年交道的傳統攻擊方法上。

企業是時候進一步了解這些威脅的工作機制了。他們有必要搞清如何檢測無文件攻擊，為什么無文件攻擊會呈增多趨勢，以及可以采取哪些步驟做好防護。

現代無文件攻擊的進化史

無文件攻擊并不是新鮮事物，但它們隨著時間流逝而發展變化。

今天的無文件攻擊遠不止“無文件”這么簡單，要說無文件的話，十幾年前的紅色代碼(Code Rad)病毒和Slammer蠕蟲就應用了無文件的概念，藏身于內存之中；但今天的無文件攻擊是整個攻擊鏈、攻擊步驟全都無文件。即便今天的無文件攻擊確實涉及到攻擊載荷，這些載荷也往往貌似合法，因而非常難以檢測。

無文件惡意軟件攻擊的增長，源于其易用性和終端檢測及響應(EDR)工具的改進。

網絡中真正令企業傷筋動骨的，是用戶名和口令被盜，而不是擺了他們一道的惡意軟件本身。

攻擊者使用域賬戶和IP管理員口令在目標網絡內橫向移動并盜取信息。他們的活動形式多樣，大多數情況下獲取某用戶的 Office 365 或AWS登錄賬戶更有價值。

某種程度上，所有攻擊者都必須先進入網絡或系統，也就是說，憑證盜竊是攻擊的第一步。本地管理員憑證往往是首選，因為沒人對它們多加關注，它們也沒被指派給具體個人。這基本上是種常態，畢竟這么做可以讓管理工作更簡單些。服務賬戶憑證同樣脆弱。攻擊者一旦接入系統，就會用提權技術提升此類賬戶的權限。

為什么會暴露在風險之中

公司企業沒掌握自身IT系統復雜性，未能完全監視自家整個生態系統，是令自身暴露在風險之中的一大原因。

很多企業都被大量數據淹沒，且無法將賬戶和用戶行為整合到一起以供分析。而只要無法跟蹤，也就無法知道哪個賬戶訪問了哪些資源。

如果企業員工還沒采用基本安全操作，那么所面臨的威脅還會更大。網絡釣魚攻擊就是用于獲取憑證的一大流行方式。

黑客會對員工發起針對性攻擊，尋求其亞馬遜、Gmail、PayPal和其他常見服務的登錄憑證。他們知道人們常會使用同一對用戶名和口令登錄不同的服務。

一旦黑客入手了員工的個人賬戶，就可以利用該賬戶嘗試進入其企業網絡。很多攻擊者都會對低級別員工下手，以期通過監視其郵件活動來分析出高級別員工的賬戶信息。

威脅蓄勢待發

隨著員工越來越移動化和云端化，無文件攻擊也會見長。遠程辦公極大地增加了對基礎設施的風險。從外面帶進來的設備都應該在登入本地網絡之前再進行一次鏡像和掃描。

移動設備在醫療保健行業所占比重越來越大，各行各業也都在朝著云端邁進。但像云這樣的環境，CISO對誰從哪兒登入的系統到底了解多少呢？大部分人都假定云是安全的，但云上包含有大量早已棄用理應注銷的憑證，這些憑證可都是攻擊者觸手可得的合法憑證。

鑒于受經濟利益驅動的攻擊者將一直存在，未來將有更多威脅對企業造成損害幾乎是肯定的。殘酷的現實是，我們將見證破壞性攻擊的增長。

我們能做些什么？

防止網絡釣魚應從員工培訓做起。滲透測試是個不錯的培訓辦法，可以增強員工對網絡釣魚的免疫力，不至于一被釣魚就上鉤。還應設立暢通的員工報告渠道，讓員工只要發現可疑跡象就能快速上報。

除此之外，公司企業還應緊密關注其生態系統中的各種活動。

可以引入工具集，找出公司整個基礎設施上的所有憑證。結果可能會令人大吃一驚，基礎設施上流轉的憑證數量往往比員工總數多得多。

評估了憑證數量之后，公司安全團隊還應深挖這些憑證的使用情況。比如都是誰在哪里使用了這些憑證，是怎么使用的。正常登錄地點之外的憑證使用都應觸發警報。大型企業或跨國企業這種基礎設施規模龐大的機構組織，有必要引入自動化技術進行憑證安全管理工作。

傳統身份與訪問管理方法也可以借鑒一二，而如果企業夠成熟，可以考慮采納能自動化訪問管理的工具集。這些工具在幫助企業掌握網絡登錄者的身份、位置、登錄方法和所做動作上應該會很有幫助。相關閱讀

網絡釣魚案例及防御措施

管理員權限的憑證安全漏洞

從無文件惡意軟件來理解威脅多樣化

波耐蒙報告：無文件攻擊成功率10倍于基于文件的攻擊