據(jù)外媒報道,最近發(fā)生的美國巴爾的摩和鋁制造商N(yùn)orsk Hydro的網(wǎng)絡(luò)攻擊事件表明,勒索軟件仍對組織構(gòu)成重大威脅。
自2017年WannaCry以來,勒索軟件隨著SimpleLocker、NotPetya、SamSam和LockerGoga等更新版本的出現(xiàn)而迅速發(fā)展。然而,勒索軟件的核心仍然是相同的。它們通過釣魚郵件或類似的策略進(jìn)入端點(diǎn)系統(tǒng),安裝惡意軟件,獲取加密代碼,并加密整個網(wǎng)絡(luò)系統(tǒng)上的數(shù)據(jù),然后要求受害者支付贖金來解密數(shù)據(jù)。
組織受勒索軟件攻擊后的代價高昂——對巴爾的摩攻擊造成的損失至少為1800萬美元。2017年至2018年間,勒索軟件攻擊的數(shù)量有所下降,但針對企業(yè)的攻擊卻呈上升趨勢,這表明黑客會為了財富繼續(xù)推動勒索軟件攻擊。
黑客清楚,并不是每個組織都及時修補(bǔ)漏洞,所以即使是舊的勒索軟件也可能有效。因?yàn)橐?guī)模較小的網(wǎng)絡(luò)犯罪組織沒有時間或金錢來投資開發(fā)新的威脅,所以這些舊的勒索軟件通常被規(guī)模較小的網(wǎng)絡(luò)犯罪組織使用。但是現(xiàn)在大多數(shù)的惡意軟件要么由國家運(yùn)行,要么由專業(yè)的犯罪組織運(yùn)行,這些組織的目標(biāo)是那些嚴(yán)重依賴他們所擁有的數(shù)據(jù)并有能力將其取回的公司。
公司必須始終防范勒索軟件,但挑戰(zhàn)在于,它發(fā)展很快,使得簽名和模式匹配等傳統(tǒng)技術(shù)越來越難以成功檢測。現(xiàn)在看到的更多的是試圖逃避防御技術(shù)的多態(tài)惡意軟件,而不是簽名可以識別的惡意軟件。
勒索軟件可以通過網(wǎng)絡(luò)上的行為分析功能被檢測,在它從受感染的系統(tǒng)傳播到網(wǎng)絡(luò)的其他部分之前將其關(guān)閉。勒索軟件已經(jīng)進(jìn)化,它的防御也必須隨之進(jìn)化。
從分析的角度來看,我們正在尋找不尋常的行為。黑客現(xiàn)在很擅長隱藏他們的惡意軟件。一旦進(jìn)入網(wǎng)絡(luò),它們看起來就像一個擁有證書的合法用戶。惡意軟件不會輕易暴露自己,所以行為分析是反擊的關(guān)鍵方法。
當(dāng)數(shù)據(jù)被加密時,分析變得很重要。web瀏覽器等應(yīng)用程序正在轉(zhuǎn)向TLS加密。然而,惡意軟件也在做同樣的事情。行為分析和觀察加密網(wǎng)絡(luò)流量等可檢測惡意軟件的存在,并限制其可能造成的損害。
當(dāng)惡意軟件攻擊時,端點(diǎn)第一個開始查找攻擊。端點(diǎn)具有基本的反病毒功能,但惡意軟件可能看到反病毒保護(hù),并采取措施逃避或禁用它。
網(wǎng)絡(luò)在處理勒索軟件方面如此成功的一個原因是黑客無法關(guān)閉網(wǎng)絡(luò),管理員可以在網(wǎng)絡(luò)上觀察不同類型的行為,而惡意軟件無法阻止他們這樣做。
機(jī)器學(xué)習(xí)可以在檢測網(wǎng)絡(luò)的異常行為方面發(fā)揮作用。在機(jī)器學(xué)習(xí)場景中,輸入的數(shù)據(jù)越多越好,系統(tǒng)會同時查看網(wǎng)絡(luò)數(shù)據(jù)包和來自不同系統(tǒng)的日志,從而更全面地了解正在發(fā)生的事情。系統(tǒng)所看到的99%可能是噪音,但機(jī)器學(xué)習(xí)擅長從大量數(shù)據(jù)中挑選出微弱的信號。
隨著勒索軟件的快速發(fā)展,不太可能發(fā)現(xiàn)所有的惡意軟件,因此網(wǎng)絡(luò)行為分析派上了用場。該技術(shù)可以檢測惡意軟件并識別受感染的系統(tǒng),使管理員能夠阻止勒索軟件通過網(wǎng)絡(luò)傳播到其他設(shè)備和系統(tǒng)。
-
深度學(xué)習(xí)
+關(guān)注
關(guān)注
73文章
5439瀏覽量
120794 -
勒索軟件
+關(guān)注
關(guān)注
0文章
37瀏覽量
3547
原文標(biāo)題:勒索軟件發(fā)展太快怎么辦?網(wǎng)絡(luò)行為分析來幫你!
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論