파일리스 멀웨어: 무엇이며, 어떻게 작동하고, 어떻게 방어해야 하는가

유니버설 어드벤처 » 일반 » 파일리스 멀웨어: 무엇이며, 어떻게 작동하고, 어떻게 방어해야 하는가

최근에는 파일리스 맬웨어 파일리스 멀웨어는 IT 및 보안 팀에게 가장 심각한 골칫거리 중 하나가 되었습니다. 이는 첨부 파일에 포함되어 다운로드되고 백신 검사로 제거할 수 있는 일반적인 바이러스가 아니라, 시스템 프로세스 내부에 숨어 있는 훨씬 더 은밀한 악성코드를 의미합니다.

이러한 유형의 위협은 상황을 악용합니다. 합법적인 운영 체제 도구특히 윈도우 환경에서 이 악성코드는 RAM에 직접 실행될 수 있습니다. 디스크에 거의 흔적을 남기지 않기 때문에 기존의 많은 안티바이러스 프로그램을 회피하고 오랫동안 활동하면서 정보를 탈취하거나 파일을 암호화하거나 백도어를 유지할 수 있어 탐지되지 않습니다.

파일리스 멀웨어란 정확히 무엇인가요?

파일리스 멀웨어라고 하면, 우리는 다음을 의미합니다. 디스크에 있는 일반적인 실행 파일에 의존하지 않는 악성 코드 작동하려면 다른 프로그램처럼 설치하는 대신 시스템에 이미 존재하는 구성 요소(스크립트, 서비스, 명령 인터프리터 등)를 활용하여 명령어를 메모리에 직접 로드하고 실행해야 합니다.

기술적인 관점에서 볼 때, 이 악성 소프트웨어는 일반적으로 이미 실행 중인 프로세스에 주입될 것입니다. 또는 모든 데이터를 RAM에 로드하는 명령어를 사용하여 실행될 수도 있습니다. 즉, 컴퓨터 전원이 꺼지거나 재시작되면 많은 변종들이 사라지지만, 그동안 심각한 피해를 입힐 충분한 시간을 갖게 됩니다.

파일 기반 악성코드와 비교했을 때, 이러한 위협은 다음과 같은 특징을 가지고 있습니다. 더 가볍고, 눈에 잘 띄지 않으며, 추적하기가 훨씬 더 어렵습니다.디스크에서 의심스러운 .exe 파일이나 악성 설치 프로그램을 찾을 수는 없을 겁니다. 문제는 신뢰할 수 있어 보이는 프로세스 내부에서 발생하는 일에 있습니다.

이러한 접근 방식의 인기는 2017년경 급증했는데, 당시 캠페인들이 파일리스 기법과 다른 방식을 결합하기 시작했기 때문입니다. 클릭커 트로이목마, 고급 애드웨어 및 원격 접속 도구(RAT)오늘날 이들은 스파이 활동과 APT 공격부터 랜섬웨어와 암호화폐 채굴에 이르기까지 모든 종류의 작전에 통합되었습니다.

파일리스 악성코드가 내부적으로 작동하는 방식

작동 방식을 이해하려면 대부분의 일반적인 애플리케이션이 다음과 같은 형태로 배포된다는 점을 기억할 필요가 있습니다. 디스크에 기록된 후 메모리로 로드되는 파일 사용자가 실행할 때 악성코드가 생성됩니다. 반면 파일리스 악성코드는 첫 단계를 건너뛰고 운영 체제 자체의 메커니즘을 이용하여 RAM에 직접 생성됩니다.

많은 캠페인이 "자연에서 자급자족하며 산다"는 아이디어에 의존합니다.땅에서 떨어져 살기): 공격자 합법적인 행정 권한을 남용합니다. 새로운 바이너리를 도입하는 대신, Windows에서는 PowerShell이 ​​대표적인 예이지만, WMI, mshta, rundll32, VBScript 또는 JScript 스크립트 및 기타 신뢰할 수 있는 바이너리(LoLBins)도 악용될 수 있습니다.

일반적인 시나리오는 다음과 같습니다. 사용자가 악성 콘텐츠가 포함된 오피스 문서를 열거나 피싱 링크를 클릭합니다. 그 후, PowerShell을 호출하는 스크립트 또는 다른 도구를 사용하여 다음 단계의 코드를 다운로드, 복호화 또는 메모리에 삽입할 수 있습니다. 이 모든 과정은 하드 드라이브에 영구 파일을 생성하지 않고도 가능합니다.

또 다른 흔한 방법은 상황을 악용하는 것입니다. 원격 코드 실행 취약점예를 들어 브라우저, 플러그인 또는 서버 애플리케이션의 버퍼 오버플로와 같은 취약점을 악용할 수 있습니다. 공격자는 이러한 취약점을 이용하여 취약한 프로세스 내에서 셸코드를 직접 실행하고, 거기에서 나머지 구성 요소를 메모리에 로드할 수 있습니다.

일부 변형은 심지어 다음과 같은 방법을 사용하기도 합니다. Windows 레지스트리 또는 예약된 작업 시스템 시작 시 또는 사용자 로그인 시 공격을 다시 활성화하는 스크립트나 명령어를 저장할 수 있습니다. 레지스트리에 무언가가 기록되더라도 주요 악성 로직은 메모리에서 계속 실행되므로 파일 시스템에만 초점을 맞춘 도구로는 탐지하기 어렵습니다.

감염 방법 및 초기 접근

현관문은 대개 아주 고전적인 디자인입니다. 피싱 이메일, 악성 링크 및 위조 문서 파일리스 기술이 내부적으로 사용되더라도, 초기 접근 권한에 있어서는 여전히 그들이 최고입니다. 핵심은 전체 과정에서 디스크 사용량을 최소화하기 위해 모든 노력을 기울인다는 것입니다.

많은 경우에 사용됩니다. 매크로가 포함된 Microsoft Office 문서 이러한 매크로는 활성화되면 PowerShell 또는 WMI를 호출하여 공격의 다음 단계를 메모리에 다운로드하고 실행합니다. 매크로가 없더라도 공격자는 Word, Excel의 취약점을 악용할 수 있습니다. PDF 리더 또는 코드 실행을 위해 스크립팅 엔진 자체를 사용할 수도 있습니다.

또 다른 접근 방식은 직접적으로 활용하는 것입니다. 겉보기에 무해한 실행 파일 사용자가 이메일을 통해 수신하거나 웹에서 다운로드하는 파일입니다. 이 실행 파일은 악성 모듈을 추출하여 .NET의 리플렉션과 같은 기술을 사용하여 메모리에 로드할 수 있으며, 실제로 별도의 파일로 디스크에 저장하지 않습니다.

인터넷에 노출된 웹 서버나 애플리케이션을 표적으로 삼는 공격 캠페인도 있으며, 이러한 공격은 취약점을 이용하여 악성코드를 배포하는 데 사용됩니다. 파일리스 구성 요소를 갖춘 웹셸최근 사례로는 Godzilla와 같은 도구를 사용하는 경우가 있는데, 이러한 도구는 악성 코드를 HTTP 요청에 포함시켜 침투한 후 감염된 서버의 메모리에 직접 주입합니다.

마지막으로 공격자들은 자주 다음과 같은 방법을 사용합니다. 도난당한 자격 증명만약 공격자가 관리자 또는 권한 있는 계정의 사용자 이름과 암호를 획득한다면, RDP 또는 다른 채널을 통해 로그인하여 PowerShell 스크립트, WMI 명령 또는 관리 도구를 수동으로 실행함으로써 시스템에 새로운 실행 파일을 남기지 않고 악성코드를 메모리에 로드할 수 있습니다.

파일리스 악성코드가 사용하는 특정 기술

이러한 공격의 핵심 중 하나는 재사용입니다. 기본 Windows 도구 이는 악성 스크립트를 실행하는 수단으로 사용됩니다. 이로 인해 악성 활동이 일반적인 관리 작업과 섞여 분석 및 대응이 어려워집니다.

가장 흔하게 사용되는 기술 중에는 다음과 같은 것들이 있습니다. 임베디드 코드 실행기로서의 PowerShell 명령줄에서 직접 실행할 수 있습니다. 예를 들어, 난독화된 스크립트를 매개변수로 전달하고, 실행 정책을 비활성화하고, 창을 숨기고, 페이로드를 메모리에 직접 다운로드할 수 있습니다. 이 모든 과정에서 .ps1 파일이나 의심스러운 실행 파일이 화면에 표시되지 않습니다.

또 다른 매우 흔한 수법은 악성 스크립트를 특정 위치에 저장하는 것입니다. Windows Management Instrumentation(WMI) 구독WMI는 주기적으로 스크립트를 실행하는데, 이 스크립트는 메모리에서 코드를 실행하거나, 명령 및 제어 서버에 연결하거나, 감염의 새로운 단계를 시작할 수 있습니다.

마찬가지로 많은 그룹들이 다음을 사용합니다. 윈도우 레지스트리 및 작업 스케줄러 스크립트와 명령어를 위한 안전한 피난처로 활용합니다. 실행 파일을 시작 폴더에 두는 대신, PowerShell, mshta 또는 rundll32 스크립트를 실행하는 시작 키나 예약 작업을 정의합니다. 이러한 스크립트에는 내장 코드 또는 실행 중에 생성되는 코드가 포함됩니다.

기술은 다음과 같은 곳에서도 볼 수 있습니다. .NET에서의 리플렉션여기서 경량 실행 파일은 암호화되거나 압축된 어셈블리를 포함하며, 이러한 어셈블리는 Reflection.Load를 사용하여 메모리에 직접 로드되므로 .dll 파일로 디스크에 기록되지 않습니다. 이를 통해 겉보기에는 정상적인 단일 프로세스 내에 매우 정교한 트로이 목마를 배포할 수 있습니다.

파일리스 공격은 어떤 일을 할 수 있을까요?

이름과 달리 파일리스 공격은 그 영향이 제한적이지 않습니다. 실제로 파일리스 공격은 다양한 작업을 수행할 수 있습니다. 기존 악성 소프트웨어와 동일한 기능을 수행합니다.정보 절도, 데이터 암호화, 계정 이동, 간첩 행위, 암호화폐 채굴 또는 영구적인 백도어 설치.

많은 파일리스 캠페인은 다음과 같이 작동합니다. 자격증명 도둑이는 민감한 프로세스의 메모리에서 암호, 세션 토큰 또는 인증 해시를 캡처하는 것을 포함합니다. 이렇게 하면 추가 바이너리를 사용하지 않고도 권한을 쉽게 상승시키고, 더 많은 시스템을 침해하고, 장기간 접근 권한을 유지할 수 있습니다.

다른 사람들은 다음에 집중합니다. 파일리스 랜섬웨어암호화 및 통신 로직의 일부는 메모리에서 직접 실행됩니다. 대량의 파일을 처리하기 위해 디스크 구성 요소가 나타날 수도 있지만, 공격의 초기 로딩 및 제어는 조기 탐지를 피하기 위해 파일리스 기법을 사용하여 수행됩니다.

공격자는 또한 설치할 수 있습니다. 루트킷 또는 고급 RAT 일단 설치되면 이러한 도구들은 파일 없는 채널을 사용하여 명령을 수신하고, 네트워크를 통해 이동하며, 모듈을 업데이트합니다. 시스템 프로세스나 핵심 서비스에 통합되어 있기 때문에 이러한 도구들을 완전히 제거하는 것은 특히 어렵습니다.

경제적인 측면에서 그 영향은 다음과 같습니다. 데이터 손실, 서비스 중단, 규제 벌금 및 평판 손상이러한 침입은 종종 수개월 동안 감지되지 않기 때문에 유출된 정보의 양과 침해 범위가 엄청날 수 있습니다.

파일리스 멀웨어 공격의 단계

기술적인 측면은 다르지만, 파일리스 공격의 생애주기는 고도화된 침입 공격의 생애주기와 매우 유사합니다. 어떤 점이 달라지나요? 각 단계에서 사용되는 메커니즘 그리고 그들이 자신을 위장하는 방식.

의 단계에서 초기 접근공격자는 먼저 시스템에 침투할 수 있는 발판을 마련해야 합니다. 예를 들어 피싱 링크를 클릭하거나, 매크로가 포함된 문서를 열거나, 취약한 서버를 악용하거나, 이미 유출된 계정 정보를 재사용하는 것 등이 있습니다. 이후 공격자의 목표는 대상 시스템 내에서 코드를 실행하는 것입니다.

그 단계가 완료되면 다음 단계가 시작됩니다. 메모리에서의 실행이러한 상황에서 PowerShell, WMI, mshta, rundll32, VBScript, JScript 또는 기타 인터프리터가 사용되어 디스크에 영구적인 실행 파일을 생성하지 않고 페이로드를 로드하고 활성화합니다. 코드는 일반적으로 난독화되거나 암호화되며 RAM에서만 복호화됩니다.

그러면 추격이 시작됩니다. 고집많은 파일리스 페이로드는 컴퓨터를 재시작하면 사라지지만, 정교한 공격자는 RAM 상주 스크립트를 레지스트리 키, 예약된 작업 또는 WMI 구독과 결합하여 시스템 시작이나 사용자 로그인과 같은 특정 조건이 충족될 때마다 코드를 다시 실행합니다.

마지막으로, 최종 목표 공격자의 행위에는 데이터 탈취 및 유출, 정보 암호화, 추가 악성코드 배포, 지속적인 스파이 활동, 그리고 핵심 시스템 파괴 등이 포함됩니다. 이 모든 행위는 조기 경보 및 포렌식 분석을 피하기 위해 최대한 눈에 띄지 않게 진행되었습니다.

탐지하기 어려운 이유는 무엇일까요?

파일리스 악성코드의 가장 큰 문제는 다음과 같습니다. 이는 파일과 서명에 기반한 기존의 방어 모델을 무너뜨립니다.분석할 의심스러운 실행 파일이 없으면 많은 안티바이러스 엔진은 메모리와 정상 프로세스에서 무슨 일이 일어나고 있는지 파악하지 못합니다.

디스크에 파일이 없다는 것은 다음을 의미합니다. 주기적으로 스캔할 대상이 없습니다. 알려진 패턴을 찾습니다. 또한 PowerShell.exe, wscript.exe 또는 rundll32.exe와 같이 운영 체제 자체에서 서명한 바이너리를 활용하여 관리자가 일반적으로 신뢰하는 이름 뒤에 악성 활동을 위장합니다.

또한, 많은 상속 상품에는 다음과 같은 특징이 있습니다. 실행 중인 프로세스에 대한 가시성이 제한적입니다.그들은 파일 시스템과 네트워크 트래픽에 집중하지만, 파일 없는 공격을 드러낼 수 있는 내부 API 호출, 명령줄 매개변수, 스크립트 동작 또는 레지스트리 이벤트는 거의 검사하지 않습니다.

이러한 한계를 알고 있는 공격자들은 다음과 같은 방법을 사용합니다. 난독화, 암호화 및 코드 분할 기법예를 들어, 악성 스크립트를 여러 조각으로 나누어 실시간으로 조립하거나, 이미지, 내장 리소스 또는 겉보기에는 무해해 보이는 문자열 안에 명령어를 숨깁니다.

시스템 재시작이 드문 환경(중요 서버, 운영 터미널 등)에서는 메모리에 상주하는 악성 소프트웨어가 문제를 일으킬 수 있습니다. 몇 주 또는 몇 달 동안 활성 상태를 유지합니다. 특히 조심스럽게 움직이고 교통량을 최소화하거나 눈에 띄는 행동을 하지 않으면 발각되지 않을 수 있습니다.

전통적인 방어 수단의 한계

이러한 위협에 대한 많은 서비스 제공업체의 초기 대응은 다음과 같은 시도를 하는 것이었습니다. PowerShell이나 Office 매크로와 같은 도구를 제한하거나 직접 차단합니다.비록 일부 위험 요소를 줄일 수는 있지만, 대부분의 조직에서 현실적이거나 완벽한 해결책은 아닙니다.

PowerShell은 이제 ...이 되었습니다. Windows 시스템 관리의 핵심 구성 요소작업 자동화, 소프트웨어 배포 및 서버 관리. 이를 완전히 차단하면 IT 워크플로가 마비되고 수많은 내부 프로세스를 다시 만들어야 할 것입니다.

게다가 공격자의 관점에서 보면 여러 가지 방법이 있습니다. 간단한 차단 정책을 우회하는 것rundll32를 사용하여 라이브러리(dll)에서 PowerShell 엔진을 로드하거나, PS2EXE와 같은 도구를 사용하여 스크립트를 실행 파일로 변환하거나, PowerShell.exe의 수정된 복사본을 사용하거나, 심지어 PowerShell 스크립트를 PNG 이미지에 삽입하고 난독화된 명령줄로 실행하는 등의 기술이 있습니다.

오피스 매크로에서도 비슷한 현상이 발생합니다. 많은 기업들이 그들에게 의존하고 있습니다. 보고서, 계산 및 비즈니스 프로세스를 자동화하기 위해 사용됩니다. 이러한 기능을 전역적으로 비활성화하면 내부 애플리케이션이 제대로 작동하지 않을 수 있으며, VBA 코드의 정적 분석에만 의존하면 관리하기 어려운 오탐률과 미탐률이 발생할 수 있습니다.

또한, 다음과 같은 몇 가지 접근 방식이 있습니다. 클라우드 기반 탐지 서비스 이러한 차단 시스템은 지속적인 연결을 필요로 하며, 때로는 악성 프로그램의 초기 실행을 막기에 너무 많은 지연 시간이 발생합니다. 차단 결정이 몇 초 또는 몇 분 늦게 내려지면 이미 피해가 발생했을 수 있습니다.

초점 전환: 파일에서 동작으로

파일 자체가 더 이상 핵심 요소가 아니므로, 현대적인 방어 솔루션은 다음과 같은 점에 초점을 맞춥니다. 프로세스의 동작을 모니터링합니다 단순히 파일 내용을 검사하는 것과는 다릅니다. 수천 가지의 악성코드 변종이 존재하지만, 악성 활동 패턴은 훨씬 덜 다양하다는 것이 핵심입니다.

이 접근 방식은 엔진에 의존합니다. 행동 분석 및 기계 학습 각 프로세스가 수행하는 작업을 지속적으로 모니터링합니다. 즉, 어떤 명령을 실행하는지, 어떤 시스템 리소스를 사용하는지, 외부 세계와 어떻게 통신하는지, 그리고 환경에 어떤 변경 사항을 적용하려고 시도하는지 등을 파악합니다.

예를 들어, 오피스 프로세스는 다음과 같은 경우 의심스러운 것으로 표시될 수 있습니다. 난독화된 PowerShell 명령을 실행합니다. 보안 정책을 비활성화하고 의심스러운 도메인에서 코드를 다운로드하는 매개변수를 사용하는 경우, 또는 뚜렷한 이유 없이 갑자기 수백 개의 민감한 파일에 접근하거나 중요한 레지스트리 키를 수정하는 프로세스인 경우 등이 있습니다.

최신 세대의 EDR 시스템과 XDR 플랫폼은 데이터를 수집합니다. 엔드포인트, 서버 및 네트워크에 대한 상세한 원격 측정 데이터또한 사건이 어떻게 발생했는지, 어떤 과정이 관련되었는지, 그리고 영향을 받은 기계에 어떤 변화가 있었는지에 대한 완전한 이야기(때때로 스토리라인이라고도 함)를 재구성할 수 있습니다.

우수한 행동 분석 엔진은 위협을 감지할 뿐만 아니라, 악의적인 행위를 완화하거나 자동으로 되돌립니다.관련 프로세스를 종료하고, 컴퓨터를 격리하고, 암호화된 파일을 복원하고, 레지스트리 변경 사항을 되돌리고, 명령 및 제어 도메인과의 통신을 차단합니다.

윈도우의 주요 사건 발생 원인 및 관련 기술

Windows에서 파일 없는 위협을 분석하는 데 특히 유용한 방법은 다음과 같은 이점을 활용하는 것입니다. 네이티브 운영 체제 원격 측정 메커니즘이미 존재하는 정보들이며, 이는 비하인드 스토리에 대한 많은 정보를 제공합니다.

한편으로는 Windows용 이벤트 추적(ETW)ETW는 프로세스 실행, API 호출, 메모리 접근 및 기타 시스템 내부 측면과 관련된 매우 상세한 이벤트를 기록할 수 있는 프레임워크입니다. 많은 EDR 솔루션은 비정상적인 동작을 실시간으로 감지하기 위해 ETW를 사용합니다.

또 다른 핵심 부분은 맬웨어 방지 스캔 인터페이스(AMSI)AMSI는 마이크로소프트에서 개발한 API로, 보안 엔진이 난독화된 스크립트나 동적 콘텐츠도 실행 직전에 검사할 수 있도록 해줍니다. AMSI는 특히 PowerShell, VBScript, JScript 및 기타 스크립팅 언어에서 유용합니다.

또한, 최신 엔진은 주기적으로 분석됩니다. 레지스트리, 작업 스케줄러, WMI 구독 또는 스크립트 실행 정책과 같은 민감한 영역이러한 영역에서 의심스러운 변화가 감지되면 파일리스 공격이 지속성을 확보했음을 나타내는 경우가 많습니다.

이 모든 것은 현재의 프로세스뿐만 아니라 미래의 프로세스까지 고려하는 휴리스틱에 의해 보완됩니다. 실행 컨텍스트상위 프로세스가 어디에서 왔는지, 그 전후에 어떤 네트워크 활동이 관찰되었는지, 이상한 오류나 비정상적인 차단 또는 기타 신호가 있었는지 등을 종합적으로 고려하여 의심스러운 정황을 파악합니다.

실용적인 탐지 및 예방 전략

실제로 이러한 위협으로부터 자신을 보호하려면 여러 가지 방법을 결합해야 합니다. 기술, 프로세스 및 교육단순히 백신 프로그램을 설치하고 잊어버리는 것만으로는 충분하지 않습니다. 파일리스 악성코드의 실제 동작 방식에 맞춘 다층적인 전략이 필요합니다.

기술적인 측면에서 배포하는 것이 필수적입니다. EDR 또는 XDR 솔루션 행동 분석 기능과 프로세스 수준의 가시성을 갖춘 도구여야 합니다. 이러한 도구는 실시간으로 활동을 기록하고 상호 연관시키며, 비정상적인 행동을 차단하고, 보안 팀에 명확한 포렌식 정보를 제공할 수 있어야 합니다.

또한 편리합니다 PowerShell, WMI 및 기타 인터프리터 사용 제한 엄격히 필요한 부분에만 접근 제어 목록을 적용하고, 스크립트 서명(코드 서명) 및 실행 정책을 통해 실행 가능한 코드와 권한을 제한합니다.

사용자 측면에서 교육은 여전히 ​​매우 중요합니다. 즉, 습득한 지식을 강화하는 것이 필요합니다. 피싱, 의심스러운 링크 및 예상치 못한 문서에 대한 인식이는 특히 민감한 정보나 높은 수준의 권한에 접근하는 직원에게 매우 중요합니다. 부주의한 클릭 횟수를 줄이면 공격 표면을 크게 줄일 수 있습니다.

마지막으로, 다음을 간과할 수 없습니다. 패치 및 소프트웨어 업데이트 주기파일리스 공격은 대부분 이미 패치가 존재하는 알려진 취약점을 악용하는 것으로 시작됩니다. 브라우저, 플러그인, 기업용 애플리케이션 및 운영 체제를 최신 상태로 유지하면 공격자에게 중요한 공격 경로를 차단할 수 있습니다.

관리형 서비스 및 위협 탐지

이벤트 발생량이 엄청난 중대형 조직에서는 내부 팀이 모든 것을 파악하기 어렵습니다. 이러한 이유로 내부 팀의 인기가 높아지고 있습니다. 모니터링 및 관리형 대응 서비스 (MDR/EMDR) 및 외부 보안 운영 센터(SOC).

이러한 서비스는 첨단 기술과 분석가 팀이 24시간 내내 모니터링합니다. 클라이언트 환경을 분석하여, 그렇지 않으면 알아차리지 못할 미약한 신호들을 상호 연관시켜 탐지합니다. 이를 통해 파일리스 악성코드의 전형적인 행동을 피해 발생 전에 감지하는 것이 목표입니다.

많은 SOC는 다음과 같은 프레임워크에 의존합니다. MITER ATT & CK 적의 전술, 기술 및 절차(TTP)를 분류하고 메모리 내 실행, LoLBins 악용, 악성 WMI 또는 은밀한 데이터 유출 패턴에 맞춘 특정 규칙을 구축합니다.

이러한 서비스는 지속적인 모니터링 외에도 일반적으로 다음과 같은 기능을 포함합니다. 법의학 분석, 사건 대응 및 컨설팅 보안 아키텍처를 개선하고, 반복적으로 발생하는 취약점을 해결하며, 엔드포인트와 서버에 대한 제어를 강화합니다.

많은 기업에게 있어 이러한 복잡한 위협에 대응하기 위한 가장 현실적인 방법은 해당 기능의 일부를 아웃소싱하는 것입니다. 왜냐하면 모든 기업이 고도화된 악성 소프트웨어를 탐지하는 데 특화된 내부 팀을 보유할 여력이 있는 것은 아니기 때문입니다.

실제로 파일리스 멀웨어는 엔드포인트 보안에 대한 우리의 이해 방식을 영원히 바꿔놓았습니다. 파일 자체는 더 이상 유일한 핵심 지표가 아닙니다.심층적인 상황 파악, 행동 분석, 우수한 관리 관행, 그리고 광범위한 사이버 보안 문화가 결합되어야만 일상적인 위협을 효과적으로 차단할 수 있습니다.