- Malware pa skedarë ekzekutohet në memorie dhe abuzon me mjete legjitime si PowerShell ose WMI.
- Mund të vjedhë të dhëna, të enkriptojë skedarë ose të spiunojë kompjuterë pa lënë gjurmë të dukshme në disk.
- Zbulimi efektiv kërkon monitorimin e sjelljes dhe proceseve, jo vetëm të skedarëve.
- Mbrojtja kërkon EDR, segmentim, patch-e dhe zvogëlim të përdorimit të skripteve dhe makrove.
Në vitet e fundit programe keqdashëse pa skedarë Malware-i pa skedarë është bërë një nga problemet më serioze për ekipet e IT-së dhe sigurisë. Nuk po flasim për virusin tipik që shkarkoni në një bashkëngjitje dhe mund ta hiqni me një skanim antivirus, por për diçka shumë më të fshehtë që fshihet brenda proceseve të vetë sistemit.
Ky lloj kërcënimi shfrytëzohet mjete legjitime të sistemit operativSidomos në Windows, mund të ekzekutojë kod të dëmshëm direkt në RAM. Meqenëse nuk lë pothuajse asnjë gjurmë në disk, mund t'i shmanget shumë programeve tradicionale antivirus dhe të mbetet aktiv mjaftueshëm gjatë sa për të vjedhur informacione, për të enkriptuar skedarë ose për të ruajtur "backdoors" pa u zbuluar.
Çfarë është saktësisht malware pa skedarë?
Kur flasim për malware pa skedarë, i referohemi kod i dëmshëm që nuk varet nga një skedar klasik ekzekutues në disk për të funksionuar. Në vend që të instalohet si çdo program tjetër, ai mbështetet në komponentët që janë tashmë të pranishëm në sistem (skripte, shërbime, interpretues komandash, etj.) për të ngarkuar dhe ekzekutuar udhëzimet e tij direkt në memorie.
Nga një këndvështrim teknik, ky program keqdashës zakonisht për t'u injektuar në procese që janë tashmë në ekzekutim ose ato mund të nisen duke përdorur komanda që ngarkojnë gjithçka në RAM. Kjo do të thotë që, sapo kompjuteri të fiket ose të riniset, shumë variante zhduken, por ndërkohë ato kanë kohë të mjaftueshme për të shkaktuar dëme serioze.
Krahasuar me malware-in e bazuar në skedarë, këto kërcënime janë më i lehtë, më diskret dhe shumë më i vështirë për t'u ndjekurNuk do të gjeni një skedar .exe të dyshimtë në disk, dhe as domosdoshmërisht një instalues keqdashës: problemi qëndron në atë që ndodh brenda proceseve që duket se janë të besueshme.
Rritja e kësaj qasje u rrit ndjeshëm rreth vitit 2017, kur fushatat filluan të kombinonin teknikat pa skedarë me trojanë klikues, programe reklamuese të përparuara dhe mjete aksesi në distancë (RAT)Sot ato janë integruar në të gjitha llojet e operacioneve: nga spiunazhi dhe APT-të te ransomware-et dhe kriptomonedha.
Si funksionon malware pa skedarë nga brenda
Për të kuptuar se si funksionon, ia vlen të kujtojmë se shumica e aplikacioneve normale shpërndahen si një skedar që shkruhet në disk dhe më pas ngarkohet në memorie kur përdoruesi e ekzekuton atë. Nga ana tjetër, malware pa skedarë anashkalon hapin e parë dhe materializohet direkt në RAM duke përdorur mekanizmat e vetë sistemit operativ.
Shumë fushata mbështeten në idenë e "jetesës nga toka" (jetojnë jashtë tokës): sulmuesi abuzon me pushtetet legjitime administrative në vend të futjes së skedarëve binare të rinj. Në Windows, shembulli kryesor është PowerShell, por shfrytëzohen edhe skriptet WMI, mshta, rundll32, VBScript ose JScript, si dhe skedarë binare të tjerë të besuar (LoLBins).
Një skenar tipik do të ishte: një përdorues hap një dokument të Office me përmbajtje dashakeqe ose klikon në një lidhje phishing; prej andej një skript që thirr PowerShell ose një mjet tjetër për të shkarkuar, deshifruar ose injektuar kodin për fazën tjetër në memorie. E gjithë kjo mund të ndodhë pa krijuar një skedar të përhershëm në hard disk.
Një tjetër vektor i zakonshëm përfshin shfrytëzimin e dobësitë e ekzekutimit të kodit në distancë, siç janë tejmbushjet e memorjes së përkohshme në shfletues, shtojca ose aplikacione serveri. Duke shfrytëzuar dobësinë, sulmuesi mund të ekzekutojë drejtpërdrejt shellcode brenda procesit të cenueshëm dhe, prej andej, të ngarkojë pjesën tjetër të komponentëve në memorie.
Disa variante madje përdorin Regjistri i Windows ose detyrat e planifikuara për të ruajtur skripte ose komanda që riaktivizojnë sulmin kur sistemi fillon ose një përdorues hyn. Edhe nëse diçka shkruhet në Regjistër, logjika kryesore keqdashëse vazhdon të funksionojë në kujtesë, duke e bërë të vështirë zbulimin e saj me mjete të fokusuara vetëm në sistemin e skedarëve.
Metodat e infeksionit dhe qasja fillestare
Dera e përparme është zakonisht mjaft klasike: email-e phishing, lidhje keqdashëse dhe dokumente të falsifikuara Ata mbeten mbretërit e aksesit fillestar, edhe pse teknikat pa skedarë përdoren poshtë tij. Truku është se gjatë gjithë zinxhirit, bëhet çdo përpjekje për të minimizuar çdo gjurmë disku.
Në shumë raste ato përdoren Dokumentet e Microsoft Office me makro Kur aktivizohen, këto makro thërrasin PowerShell ose WMI për të shkarkuar dhe ekzekutuar fazën tjetër të sulmit në memorie. Edhe pa makro, sulmuesit shfrytëzojnë dobësitë në Word, Excel, Lexuesit PDF ose vetë motori i skriptimit për të arritur ekzekutimin e kodit.
Një qasje tjetër përfshin shfrytëzimin e drejtpërdrejtë të ekzekutues në dukje të padëmshëm që përdoruesi i merr me anë të email-it ose shkarkimit nga uebi. Ky skedar i ekzekutueshëm mund të nxjerrë një modul keqdashës dhe ta ngarkojë atë në memorie duke përdorur teknika të tilla si reflektimi në .NET, pa e ruajtur atë në disk si një skedar të veçantë.
Ekzistojnë gjithashtu fushata që synojnë serverat ose aplikacionet web të ekspozuara ndaj internetit, ku dobësia përdoret për të vendosur webshells me komponentë pa skedarëNjë shembull i kohëve të fundit është përdorimi i Godzilla-s dhe mjeteve të ngjashme, në të cilat kodi keqdashës udhëton brenda kërkesave HTTP dhe injektohet direkt në memorien e serverit të kompromentuar.
Së fundmi, sulmuesit shpesh përdorin kredencialet e vjedhuraNëse ata marrin emrin e përdoruesit dhe fjalëkalimin e një administratori ose një llogarie të privilegjuar, ata mund të identifikohen nëpërmjet RDP ose kanaleve të tjera dhe të nisin manualisht skriptet PowerShell, komandat WMI ose mjetet administrative që ngarkojnë programin keqdashës në memorie pa lënë asnjë skedar të ri ekzekutues në sistem.
Teknika specifike të përdorura nga malware pa skedarë
Një nga çelësat e këtyre sulmeve është ripërdorimi i veglat amtare të Windows si një mjet për skriptet e tyre. Kjo bën që aktiviteti keqdashës të përzihet me detyrat normale administrative, duke e komplikuar analizën dhe përgjigjen.
Ndër teknikat më të zakonshme gjejmë përdorimin e PowerShell si një lëshues kodi i integruar direkt nga rreshti i komandës. Për shembull, një skript i turbullt kalohet si parametër, politika e ekzekutimit çaktivizohet, dritarja fshihet dhe një ngarkesë shkarkohet direkt në memorie, të gjitha pa lënë të dukshëm një skedar .ps1 ose ndonjë skedar të dyshimtë ekzekutues.
Një tjetër taktikë shumë e popullarizuar është ruajtja e skripteve dashakeqe në Abonimet e Instrumentimit të Menaxhimit të Windows (WMI)Herë pas here, WMI aktivizon skriptin, i cili mund të ekzekutojë kodin nga memoria, të lidhet me serverat e komandës dhe kontrollit ose të nisë faza të reja të infeksionit.
Në mënyrë të ngjashme, shumë grupe përdorin Regjistri i Windows dhe Planifikuesi i Detyrave si një strehë për skriptet dhe komandat e tyre. Në vend që të vendosin një skedar ekzekutues në dosjen e nisjes, ata përcaktojnë çelësa nisjeje ose detyra të planifikuara që ekzekutojnë skripte PowerShell, mshta ose rundll32 me kod të integruar ose të ekzekutueshëm.
Teknikat shihen edhe në reflektim në .NETku një skedar ekzekutues i lehtë përmban montime të enkriptuara ose të kompresuara që ngarkohen direkt në memorie duke përdorur Reflection.Load, pa u shkruar kurrë si skedarë .dll në disk. Kjo lejon vendosjen e trojanëve shumë të sofistikuar brenda një procesi të vetëm, në dukje normal.
Çfarë mund të bëjë një sulm pa skedarë?
Pavarësisht emrit të tij, një sulm pa skedar nuk është i kufizuar në ndikimin e tij. Në fakt, ai mund të kryejë të njëjtat funksione si programet tradicionale keqdashësevjedhje informacioni, enkriptim të dhënash, lëvizje anësore, spiunazh, minierim kriptomonedhash ose instalim të "backdoors"-eve të përhershme.
Shumë fushata pa skedarë sillen si hajdut kredencialeshKjo përfshin kapjen e fjalëkalimeve, tokenëve të sesionit ose hasheve të vërtetimit nga memoria e proceseve të ndjeshme. Kjo e bën më të lehtë përshkallëzimin e privilegjeve, kompromentimin e më shumë sistemeve dhe ruajtjen e aksesit të zgjatur pa përdorur skedarë binare shtesë.
Të tjerët përqendrohen në ransomware pa skedarëku një pjesë e logjikës së enkriptimit dhe komunikimit ekzekutohet direkt në memorie. Edhe pse një komponent disku mund të shfaqet në një moment për të manipuluar një numër të madh skedarësh, ngarkimi fillestar dhe kontrolli i sulmit bëhen me teknika pa skedarë për të shmangur zbulimin e hershëm.
Sulmuesit gjithashtu mund të instalojnë rootkit-e ose RAT të avancuara Pasi të jenë instaluar, këto mjete përdorin kanale pa skedarë për të marrë komanda, për të lëvizur nëpër rrjet dhe për të përditësuar modulet. Meqenëse ato janë të integruara në proceset e sistemit ose shërbimet kritike, këto mjete janë veçanërisht të vështira për t'u zhdukur.
Në aspektin ekonomik, ndikimi përkthehet në humbje të të dhënave, ndërprerje të shërbimit, gjoba rregullatore dhe dëmtim të reputacionitMeqenëse këto ndërhyrje shpesh nuk zbulohen për muaj të tërë, vëllimi i informacionit të nxjerrë dhe fushëveprimi i shkeljes mund të jenë të mëdha.
Fazat e një sulmi me programe keqdashëse pa skedarë
Edhe pse aspektet teknike janë të ndryshme, cikli jetësor i një sulmi pa skedar është mjaft i ngjashëm me atë të çdo ndërhyrjeje të avancuar. Cilat janë ndryshimet? mekanizmat e përdorur në secilën fazë dhe mënyrën se si e kamuflojnë veten.
Në fazën e akses fillestarSulmuesi ka nevojë për një pikëmbështetje fillestare: një klikim në një lidhje phishing, hapja e një dokumenti që përmban makro, shfrytëzimi i një serveri të cenueshëm ose ripërdorimi i kredencialeve të kompromentuara. Nga aty, qëllimi është të ekzekutohet kodi brenda sistemit të synuar.
Pasi të arrihet ky hap, fillon faza tjetër ekzekutim në kujtesëKëtu hyjnë në lojë PowerShell, WMI, mshta, rundll32, VBScript, JScript ose interpretues të tjerë për të ngarkuar dhe aktivizuar ngarkesën pa gjeneruar skedarë të përhershëm ekzekutues në disk. Kodi zakonisht është i errësuar ose i enkriptuar dhe i dekriptuar vetëm në RAM.
Pastaj fillon ndjekja këmbënguljeEdhe pse shumë ngarkesa pa skedarë zhduken kur kompjuteri riniset, sulmuesit e sofistikuar kombinojnë skriptet që ndodhen në RAM me çelësa Regjistri, detyra të planifikuara ose abonime WMI që e rilançojnë kodin sa herë që plotësohet një kusht specifik, siç është nisja e sistemit ose hyrja e përdoruesit.
Më në fund, objektivat përfundimtare Veprimet e sulmuesit përfshijnë: vjedhjen dhe nxjerrjen e të dhënave, enkriptimin e informacionit, vendosjen e më shumë programeve keqdashëse, spiunazhin e vazhdueshëm dhe sabotimin e sistemeve kritike. E gjithë kjo bëhet duke u përpjekur të ruhet profili sa më i ulët i mundshëm për të shmangur alarmet e hershme dhe analizat mjeko-ligjore.
Pse është kaq e vështirë për t’u zbuluar?
Problemi i madh me malware-in pa skedarë është se Ai thyen modelin klasik të mbrojtjes bazuar në skedarë dhe nënshkrimeNëse nuk ka ndonjë skedar ekzekutues të dyshimtë për t'u analizuar, shumë motorë antivirus mbeten të verbër ndaj asaj që po ndodh brenda memories dhe proceseve legjitime.
Mungesa e skedarëve në disk nënkupton që Nuk ka objekte për t'u skanuar periodikisht në kërkim të modeleve të njohura. Për më tepër, duke përdorur skedarë binare të nënshkruar nga vetë sistemi operativ, siç janë PowerShell.exe, wscript.exe ose rundll32.exe, aktiviteti keqdashës maskohet pas emrave që administratori normalisht u beson.
Përveç kësaj, shumë produkte të trashëguara kanë një Dukshmëri e kufizuar në proceset në ekzekutimAto përqendrohen në sistemin e skedarëve dhe trafikun e rrjetit, por mezi inspektojnë thirrjet e brendshme të API-t, parametrat e linjës së komandës, sjelljen e skriptit ose ngjarjet e Regjistrit që mund të zbulojnë një sulm pa skedarë.
Sulmuesit, të vetëdijshëm për këto kufizime, përdorin teknikat e errësimit, enkriptimit dhe fragmentimit të koditPër shembull, ata e ndajnë një skript keqdashës në disa fragmente që mblidhen në kohë reale, ose fshehin udhëzime brenda imazheve, burimeve të ngulitura ose vargjeve në dukje të padëmshme.
Në mjedise ku sistemet rrallë rinisen (servera kritikë, terminale prodhimi, etj.), programet keqdashëse që banojnë në memorie mund të... mbeten aktivë për javë ose muaj pa u zbuluar, veçanërisht nëse lëvizni me kujdes dhe minimizoni volumin e trafikut ose veprimet e dukshme.
Kufizimet e mbrojtjeve tradicionale
Përgjigja fillestare e shumë ofruesve ndaj këtij kërcënimi ka qenë të përpiqen kufizoni ose bllokoni drejtpërdrejt mjete si makrot PowerShell ose OfficeEdhe pse mund të zvogëlojë disa vektorë, nuk është një zgjidhje realiste ose e plotë në shumicën e organizatave.
PowerShell është bërë një Komponent kyç për administrimin e sistemit WindowsAutomatizimi i detyrave, vendosja e softuerëve dhe menaxhimi i serverëve. Bllokimi i tij i plotë do të paralizonte rrjedhat e punës së IT-së dhe do të detyronte ribërjen e shumë proceseve të brendshme.
Për më tepër, nga pikëpamja e sulmuesit, ka shumë mënyra për të duke anashkaluar një politikë të thjeshtë bllokimiEkzistojnë teknika për të ngarkuar motorin PowerShell nga libraritë (dll) duke përdorur rundll32, për të kthyer skriptet në skedarë ekzekutues me mjete si PS2EXE, për të përdorur kopje të modifikuara të PowerShell.exe, ose edhe për të integruar skriptet PowerShell në imazhe PNG dhe për t'i ekzekutuar ato me linja komandash të turbullta.
Diçka e ngjashme ndodh me makrot e Office: Shumë kompani varen prej tyre për të automatizuar raportet, llogaritjet dhe proceset e biznesit. Çaktivizimi i tyre globalisht mund të prishë aplikacionet e brendshme, ndërsa mbështetja vetëm në analizën statike të kodit VBA shpesh rezulton në një shkallë të vështirë për t'u menaxhuar të rezultateve pozitive dhe negative të rreme.
Përveç kësaj, disa qasje të bazuara në zbulimi si shërbim i bazuar në cloud Ato kërkojnë lidhje të vazhdueshme dhe, nganjëherë, funksionojnë me shumë vonesë për të parandaluar ekzekutimin fillestar të malware-it. Nëse vendimi për bllokim merret sekonda ose minuta më vonë, dëmi mund të jetë bërë tashmë.
Zhvendosjet e fokusit: nga skedarët te sjellja
Meqenëse dosja nuk është më elementi kryesor, zgjidhjet moderne të mbrojtjes përqendrohen në monitoroni sjelljen e proceseve në vend që të inspektohet vetëm përmbajtja e skedarëve. Ideja është që, megjithëse ekzistojnë mijëra variante të programeve keqdashëse, modelet e aktivitetit keqdashës janë shumë më pak të larmishme.
Kjo qasje mbështetet në motorët e analiza e sjelljes dhe të mësuarit automatik që monitorojnë vazhdimisht atë që bën secili proces: cilat komanda lëshon, cilat burime të sistemit prek, si komunikon me botën e jashtme dhe çfarë ndryshimesh përpiqet të fusë në mjedis.
Për shembull, një proces i Office mund të shënohet si i dyshimtë nëse ekzekuton një komandë të paqartë PowerShell me parametra për të çaktivizuar politikat e sigurisë dhe për të shkarkuar kodin nga një domen i dyshimtë. Ose një proces që, pa asnjë arsye të dukshme, papritmas qaset në qindra skedarë të ndjeshëm ose modifikon çelësa kritikë të regjistrit.
Gjenerata më e fundit e sistemeve EDR dhe platformave XDR mbledhin telemetri e detajuar e pikave fundore, serverave dhe rrjetitdhe janë në gjendje të rindërtojnë histori të plota (ndonjëherë të quajtura StoryLines) se si filloi një incident, cilat procese ishin të përfshira dhe çfarë ndryshimesh pësoi makina e prekur.
Një motor i mirë sjelljeje jo vetëm që zbulon kërcënimin, por mundet zbutni ose përmbysni automatikisht veprimet keqdashëse: mbyll proceset e përfshira, izolo kompjuterin, rivendos skedarët e enkriptuar, anulo ndryshimet në Regjistër dhe ndërpret komunikimet me domenet e komandës dhe kontrollit.
Teknologjitë dhe burimet e ngjarjeve kryesore në Windows
Për të analizuar kërcënimet pa skedarë në Windows, është veçanërisht e dobishme të përfitoni nga mekanizmat e telemetrisë së sistemit operativ vendas, të cilat janë tashmë aty dhe ofrojnë shumë informacion rreth asaj që ndodh prapa skenave.
Nga njëra anë është Gjurmimi i ngjarjeve për Windows (ETW)ETW është një strukturë që lejon regjistrimin e ngjarjeve shumë të detajuara që lidhen me ekzekutimin e procesit, thirrjet API, aksesin në memorie dhe aspekte të tjera të sistemit të brendshëm. Shumë zgjidhje EDR mbështeten në ETW për të zbuluar sjellje atipike në kohë reale.
Një tjetër pjesë kyçe është Ndërfaqja e skanimit kundër malware (AMSI)AMSI është një API e projektuar nga Microsoft për të lejuar motorët e sigurisë të inspektojnë skriptet dhe përmbajtjen dinamike pak para se ato të ekzekutohen, edhe nëse janë të turbullta. AMSI është veçanërisht i dobishëm me PowerShell, VBScript, JScript dhe gjuhë të tjera skriptimi.
Përveç kësaj, motorët modernë analizohen periodikisht. zona të ndjeshme siç janë Regjistri, Planifikuesi i Detyrave, abonimet WMI ose politikat e ekzekutimit të skripteveNdryshimet e dyshimta në këto zona janë shpesh një shenjë se një sulm pa skedarë ka krijuar qëndrueshmëri.
E gjithë kjo plotësohet nga heuristika që marrin në konsideratë jo vetëm procesin aktual, por edhe konteksti i ekzekutimitnga vjen procesi mëmë, çfarë aktiviteti të rrjetit është vërejtur para dhe pas, nëse ka pasur dështime të çuditshme, bllokime anomale apo sinjale të tjera që, të mbledhura së bashku, e anojnë situatën drejt dyshimit.
Strategji praktike të zbulimit dhe parandalimit
Në praktikë, mbrojtja e vetes nga këto kërcënime përfshin kombinimin e teknologjia, proceset dhe trajnimiNuk mjafton të instalosh një antivirus dhe ta harrosh; nevojitet një strategji e shtresuar e përshtatur me sjelljen reale të malware-it pa skedarë.
Në një nivel teknik, është thelbësore të zbatohet Zgjidhje EDR ose XDR me aftësi analize të sjelljes dhe dukshmëri në nivel procesi. Këto mjete duhet të jenë në gjendje të regjistrojnë dhe të lidhin aktivitetin në kohë reale, të bllokojnë sjelljen anormale dhe t'i ofrojnë ekipit të sigurisë informacion të qartë mjeko-ligjor.
Alsoshtë gjithashtu i përshtatshëm Kufizimi i përdorimit të PowerShell, WMI dhe interpretuesve të tjerë për atë që është rreptësisht e nevojshme, duke zbatuar listat e kontrollit të aksesit, nënshkrimin e skripteve (Nënshkrimi i Kodit) dhe politikat e ekzekutimit që kufizojnë se cili kod mund të ekzekutohet dhe me çfarë privilegjesh.
Nga ana e përdoruesit, trajnimi mbetet thelbësor: është e nevojshme të përforcohet ndërgjegjësim për phishing, lidhje të dyshimta dhe dokumente të paprituraKjo është veçanërisht e rëndësishme në mesin e personelit me qasje në informacione të ndjeshme ose privilegje të nivelit të lartë. Ulja e numrit të klikimeve të pakujdesshme zvogëlon ndjeshëm sipërfaqen e sulmit.
Së fundmi, nuk mund të neglizhohet cikli i përditësimit të patch-eve dhe softuerëveShumë zinxhirë pa skedarë fillojnë duke shfrytëzuar dobësitë e njohura për të cilat ekzistojnë tashmë patch-e. Mbajtja e shfletuesve, plugin-eve, aplikacioneve të ndërmarrjeve dhe sistemeve operative të përditësuara mbyll dyer të vlefshme për sulmuesit.
Shërbime të menaxhuara dhe gjueti kërcënimesh
Në organizatat e mesme dhe të mëdha, ku vëllimi i ngjarjeve është i madh, është e vështirë për ekipin e brendshëm të shohë gjithçka. Kjo është arsyeja pse ato po fitojnë gjithnjë e më shumë popullaritet. shërbimet e monitorimit dhe reagimit të menaxhuar (MDR/EMDR) dhe qendrat e operacioneve të sigurisë së jashtme (SOC).
Këto shërbime kombinojnë teknologjinë e përparuar me ekipe analistësh që monitorojnë 24/7 mjediset e klientëve të tyre, duke lidhur sinjale të dobëta që përndryshe do të kalonin pa u vënë re. Ideja është të zbulohen sjelljet tipike të malware-it pa skedarë përpara se të ndodhë dëmtimi.
Shumë SOC mbështeten në korniza të tilla si MITER AT&CK për të kataloguar taktikat, teknikat dhe procedurat (TTP) e kundërshtarëve dhe për të ndërtuar rregulla specifike të orientuara drejt ekzekutimit në memorie, abuzimit me LoLBins, WMI-së dashakeqe ose modeleve të fshehta të nxjerrjes së të dhënave.
Përveç monitorimit të vazhdueshëm, këto shërbime zakonisht përfshijnë analiza mjeko-ligjore, reagimi ndaj incidenteve dhe konsultimi për të përmirësuar arkitekturën e sigurisë, për të mbyllur boshllëqet e përsëritura dhe për të forcuar kontrollet në pikat fundore dhe serverat.
Për shumë kompani, kontraktimi i një pjese të këtij funksioni nga jashtë është mënyra më e qëndrueshme për t'u përballur me kërcënime të tilla komplekse, pasi jo të gjithë mund të përballojnë një ekip të brendshëm të specializuar në gjueti të programeve të avancuara keqdashëse.
Realiteti është se programet keqdashëse pa skedarë kanë ndryshuar përgjithmonë mënyrën se si e kuptojmë sigurinë e pikave të fundit: Dosjet nuk janë më i vetmi tregues kyçDhe vetëm një kombinim i dukshmërisë së thellë, analizës së sjelljes, praktikave të mira të menaxhimit dhe një kulture të zgjeruar të sigurisë kibernetike mund ta mbajë atë në kontroll në baza ditore.
