看过《荒野求生》的人都了解，如果想在野外保留下来，必然要融入当地环境。如变色龙一般，让本身完美得沉没于环境中，以告成获取食物。对付安适打击者来说，也是如此。近年来呈现的打击大多方向隐匿型，它们能暗暗融入用户的计算环境，恒久暗藏。虽然用户防护高级威胁的能力在逐年提高，但是这些打击者却有着足够的“缔造力”，能迅速地缔造出更新的打击技术。这种新的形态，粉碎力更大。它，就长短恶意软件打击。
 
非恶意软件不是说打击时真的不需要使用任何文件。而是打击者使用被打击主机中信任的系统措施或授权的协议来进行的一种恶意打击。这种打击无需运行任何恶意文件，就能到达打击的目的。例如，打击者定向发送垂钓邮件，当你打开邮件时，会挪用系统可信措施，如PowerShell，执行写好的打击代码，到达打击目的。打击的代码只驻留在内存中，无落地文件，因此杀毒软件不会有任何响应。杰思安适在实践中，便遇过许多类似的案例。例如，某省气象局，便遇到一个操作PowerShell进行挖矿的恶意事件，打击者只创建了一个打算任务，挪用PowerShell按期执行挖矿命令，导致业务系统卡顿，而这一切打击者没留下任何可疑文件。
 
由于非恶意软件打击的强大粉碎力和隐蔽性，被越来越多的黑客使用。在2018年全球网络打击中，有赶过40%的打击者便给与了这种方法。据Malwarebytes颁布的呈报称，非恶意软件打击正在迅速飙升，平均每3个传染中就有1个长短恶意软件打击造成的。
 
面对如此出没无常的打击，我们应采纳哪些法子？当传统防御手段掉效时，还能操作什么方法来掩护企业？如何尽快发明非恶意软件打击的踪迹？基于大量的告成实践经验，杰思认为快速检测及响应（EDR），是一个有效并可靠的步伐，能弥补传统安适软件的不敷。用户可以从评估、监测、响应几个方面入手。
 
威胁追踪关联分析
有些安适威胁能在用户网络中隐匿数月甚至数年。再隐匿的威胁，总会留下蛛丝马迹，因而需要查抄和追踪当前与历史事件进行综合安适关联分析。从时间轴维度，对事件产生期间主机内各项变革进行汇总关联分析，还原事件全貌，找出隐匿威胁。用户必需使用能够识别历史打击迹象的工具，如可疑的文件、网络访谒、注册表项、用户登录、异常命令等。
 
账户监控与资产清点
账户监视和打点可以通过提高事情环境的可见性,以检测和防备未经授权的访谒勾当。防备由此导致的数据丢掉，允许权限用户控制数据访谒权,让用户实时了解访谒权限是否被不当授予。资产清点显示网络上正在运行的计算机，允许用户有效部署安适体系布局，以确保没有恶意系统在内网环境运行。辅佐安适和IT运营商区分环境中的托管资产、非托管资产和不成打点资产，并采纳适当法子提高整体安适性。
 
异常命令监控
聪明的打击者会操作PowerShell、svchost等系统自身进程，执行命令行到达挖矿、操控主机等目的，此类打击没有落地的恶意措施，给与传统的文件检测甚至行为检测的方法无法捕获任何打击信息。可给与记录windows系统中如cmd、PowerShell等进程执行的命令操纵，并按照异常命令法则库判断其是否为有威胁的异常命令，并进行阻断实现防御。