常見的黑客攻擊往往以病毒程式或惡意檔案為載體,通過網絡進行傳播——這種攻擊方式較容易被端點防護程式所檢測到。但是如果黑客不走尋常路呢?在下周即将到來的rsa conference 2017 (美國資訊安全大會)上,carbon black(美國資訊安全公司,也就是原來的bit9)将推出新的解決方案來針對那些另辟蹊徑的攻擊。
即将揭曉的技術被稱作資料流防護技術(streaming prevention),能夠通過雲端分析引擎,對使用者終端一系列活動的前後的行為進行分析比對,既可以偵測傳統的惡意程式攻擊,也可以偵測利用非惡意程式開展的攻擊。
該技術的主要實作方式是先為終端發生的事件打上标記,再将其上傳到carbon black的雲端分析平台。資料引擎會判斷該事件是否屬攻擊行為的某一環。如确認,則将訓示終端做好相應的防護措施。
carbon black為全球兩千多家企業提供端點威脅解決方案,擁有海量終端裝置所送出、回報的資料,streaming prevention中利用的雲端分析引擎正是建立在這個基礎上。通過對終端資料建立統計模型,雲端引擎可以甄别那些看似無害的行為是否為惡意攻擊。
作為補充,安全分析者還會挑出那些雲端引擎沒能識别出來的攻擊行為去分析究竟,并依此對資料統計的算法進行調整和改進,確定系統不會再對類似的攻擊判斷失誤。
許多非惡意軟體攻擊會嘗試利用合法工具,如powershell,remote desktop(遠端桌面)和flash來掩蓋惡意行為。例如,通過remote desktop連接配接其他裝置是很正常的一件事,但與一些不懷好意的手法相結合,remote desktop可能就被黑客利用,成為暗渡陳倉的幌子。傳統單點防護技術如果習慣于把簽名或信譽已記錄在案的惡意檔案當做單一的威脅訓示器,就可能被黑客繞過。
不過streaming prevention的出現使得對此類惡意行為進行定位變得可能。分析引擎不僅會對單一事件進行标記,還會對事件前後發生的活動進行分析,比較。用carbon black自己的話說,“carbon black defense(cb defense)的雲端平台收集彙總上千萬終端的資料,這将有效減少威脅誤報和漏報的發生。”
streaming prevention技術将應用于carbon black端點威脅解決方案的下一次更新,預計将在4月份實施。由于針對端點裝置的攻擊層出不窮,端點安全一直是rsa大會的一個重要議題。
本文轉自d1net(轉載)
![查找算法之二分查找查找算法之二分查找[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)