據外媒報道,最近發生的美國巴爾的摩和鋁制造商Norsk Hydro的網絡攻擊事件表明,勒索軟件仍對組織構成重大威脅。
自2017年WannaCry以來,勒索軟件隨著SimpleLocker、NotPetya、SamSam和LockerGoga等更新版本的出現而迅速發展。然而,勒索軟件的核心仍然是相同的。它們通過釣魚郵件或類似的策略進入端點系統,安裝惡意軟件,獲取加密代碼,并加密整個網絡系統上的數據,然后要求受害者支付贖金來解密數據。
組織受勒索軟件攻擊后的代價高昂——對巴爾的摩攻擊造成的損失至少為1800萬美元。2017年至2018年間,勒索軟件攻擊的數量有所下降,但針對企業的攻擊卻呈上升趨勢,這表明黑客會為了財富繼續推動勒索軟件攻擊。
黑客清楚,并不是每個組織都及時修補漏洞,所以即使是舊的勒索軟件也可能有效。因為規模較小的網絡犯罪組織沒有時間或金錢來投資開發新的威脅,所以這些舊的勒索軟件通常被規模較小的網絡犯罪組織使用。但是現在大多數的惡意軟件要么由國家運行,要么由專業的犯罪組織運行,這些組織的目標是那些嚴重依賴他們所擁有的數據并有能力將其取回的公司。
公司必須始終防范勒索軟件,但挑戰在于,它發展很快,使得簽名和模式匹配等傳統技術越來越難以成功檢測?,F在看到的更多的是試圖逃避防御技術的多態惡意軟件,而不是簽名可以識別的惡意軟件。
勒索軟件可以通過網絡上的行為分析功能被檢測,在它從受感染的系統傳播到網絡的其他部分之前將其關閉。勒索軟件已經進化,它的防御也必須隨之進化。
從分析的角度來看,我們正在尋找不尋常的行為。黑客現在很擅長隱藏他們的惡意軟件。一旦進入網絡,它們看起來就像一個擁有證書的合法用戶。惡意軟件不會輕易暴露自己,所以行為分析是反擊的關鍵方法。
當數據被加密時,分析變得很重要。web瀏覽器等應用程序正在轉向TLS加密。然而,惡意軟件也在做同樣的事情。行為分析和觀察加密網絡流量等可檢測惡意軟件的存在,并限制其可能造成的損害。
當惡意軟件攻擊時,端點第一個開始查找攻擊。端點具有基本的反病毒功能,但惡意軟件可能看到反病毒保護,并采取措施逃避或禁用它。
網絡在處理勒索軟件方面如此成功的一個原因是黑客無法關閉網絡,管理員可以在網絡上觀察不同類型的行為,而惡意軟件無法阻止他們這樣做。
機器學習可以在檢測網絡的異常行為方面發揮作用。在機器學習場景中,輸入的數據越多越好,系統會同時查看網絡數據包和來自不同系統的日志,從而更全面地了解正在發生的事情。系統所看到的99%可能是噪音,但機器學習擅長從大量數據中挑選出微弱的信號。
隨著勒索軟件的快速發展,不太可能發現所有的惡意軟件,因此網絡行為分析派上了用場。該技術可以檢測惡意軟件并識別受感染的系統,使管理員能夠阻止勒索軟件通過網絡傳播到其他設備和系統。
-
深度學習
+關注
關注
73文章
5500瀏覽量
121117 -
勒索軟件
+關注
關注
0文章
37瀏覽量
3576
原文標題:勒索軟件發展太快怎么辦?網絡行為分析來幫你!
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論