对于黑客大家并不陌生,他们最常用的手段无非是木马病毒、恶意程序或链接等,以此让你掉入陷阱并对你进行敲诈勒索。
然而这种通过网络进行传播的攻击方式很容易被端点防护程序检测到,黑客当然不会坐以待毙。他们选择不走寻常路,使用“非恶意软件”进行攻击。大家不要惊慌不要担忧,在下周即将到来的RSA Conference 2017 (美国信息安全大会)上,Carbon Black(美国信息安全公司)将推出新的解决方案来针对那些另辟蹊径的攻击。
这项即将面世的技术被称为数据流防护技术(Streaming Prevention),能够通过云端分析引擎,对用户终端一系列活动的前后的行为进行分析比对,既可以侦测传统的恶意程序攻击,也可以侦测利用非恶意程序开展的攻击。
该技术的主要实现方式是先为终端发生的事件打上标记,再将其上传到Carbon Black的云端分析平台。数据引擎会判断该事件是否属攻击行为的某一环。如确认,则将指示终端做好相应的防护措施。
Carbon Black为全球两千多家企业提供端点威胁解决方案,拥有海量终端设备所提交、反馈的数据,Streaming Prevention中利用的云端分析引擎正是建立在这个基础上。通过对终端数据建立统计模型,云端引擎可以甄别那些看似无害的行为是否为恶意攻击。
作为补充,安全分析者还会挑出那些云端引擎没能识别出来的攻击行为去分析究竟,并依此对数据统计的算法进行调整和改进,确保系统不会再对类似的攻击判断失误。
许多非恶意软件攻击会尝试利用合法工具,如PowerShell,Remote Desktop(远程桌面)和Flash来掩盖恶意行为。例如,通过Remote Desktop连接其他设备是很正常的一件事,但与一些不怀好意的手法相结合,Remote Desktop可能就被黑客利用,成为暗渡陈仓的幌子。传统单点防护技术如果习惯于把签名或信誉已记录在案的恶意文件当做单一的威胁指示器,就可能被黑客绕过。
不过数据流防护技术的出现使得对此类恶意行为进行定位变得可能。分析引擎不仅会对单一事件进行标记,还会对事件前后发生的活动进行分析和比较。用Carbon Black自己的话说,“Carbon Black Defense(CB Defense)的云端平台收集汇总上千万终端的数据,这将有效减少威胁误报和漏报的发生。”
Streaming Prevention技术将应用于Carbon Black端点威胁解决方案的下一次升级,预计将在今年4月份实施。由于针对端点设备的攻击层出不穷,端点安全一直是RSA大会的一个重要议题。
随着安全防护的增强,黑客攻击的方式会更加隐蔽,令人难以发现。我们在平常的操作中,一定要谨小慎微,不要下载来源不明的软件,不要打开未知的链接、图片等。