这家公司通过机器学习更快响应勒索软件
作者: 日期:2016年06月25日 阅:3,055

文件加密型勒索软件程序已经成为全球公司网络最大威胁之一,且一直在通过增加更为复杂的检测规避技术和扩散技术而不断进化。

640

如今,任何一个“良心”恶意软件作者都会确保自己的作品能在释放前躲过反病毒检测。这种情况下,企业安全团队不得不放弃试图将恶意软件全都挡在门外这种注定会输的做法,转而将精力投放到了改善响应时间上。

Exabeam,用户和实体行为分析提供商,采用机器学习、行为分析来帮助公司企业管控勒索软件感染。Exabeam认为机器学习算法能够大幅改善勒索软件检测和反应时间,防止此类程序在网络内扩散并影响到更多的系统

由于勒索软件作者的解密价格是按系统计算的,尽快隔离受影响计算机便十分关键了。仅上周,卡尔加里大学便宣称花费了2万加币(约合1.56万美元),才从勒索软件作者那里讨来解密多个系统的密钥。

Exabeam的勒索软件分析,是一款6月13号才公诸于世的新产品,采用了该公司现有的行为分析技术,在勒索软件感染发生之后极短时间内检测出来。

该产品使用客户公司现有日志数据来为计算机和用户建立行为模式。这使得该产品可以通过分析文件和员工文档行为异常,在没有预存检测签名的情况下检测出未知勒索软件。

为避免误报,该技术只有在多项指佂此类威胁的可疑活动的综合风险得分超过某个阈值的情况下,才会将事件标记为勒索软件

Exabeam的安全研究团队正在实验室帮助训练该款产品。通过在测试计算机上运行大量勒索软件样本,再让该产品观察样本行为,便可以建立起威胁模型。

640-2

该产品本身没有封禁功能,是为公司企业的安全分析师能够快速发现并响应安全事件而打造的。它可作为插件,集成到公司企业中已能检测公司内部安全策略违规行为的分析平台上。

尽管没有没有内置的威胁中和功能,该平台可与其他安全工具集成,让分析师可以创建管理脚本,在检测到事件时自动执行相关处理过程——例如,将受感染计算机立即与网络中其他部分隔离。

勒索软件通常通过路过式下载攻击和钓鱼邮件扩散,这意味着,取决于用户行为,计算机是一个接一个受影响的。然而,在企业环境中,勒索软件可通过影响文档共享服务器上的文件和其他协作服务,很容易地大范围传播

最近,某些勒索软件甚至获得了类似蠕虫的自我扩散能力。其中一个名为ZCrypt,能复制自身到外部U盘上,通过流氓自动播放文件autorun.inf运行。

通过在实验环境运行大量勒索软件样本,Exabeam的研究人员还发现了一些有趣的趋势:比如,勒索软件近期价格上涨

2到3个月前,大多数勒索价格在0.4到1比特币之间。上个月,情况变了,如今勒索价格已经上涨到了2到5比特币。

这有可能是因为勒索软件作者如今专注于勒索公司企业,而公司比个人用户更愿意也能够支付更多金钱来恢复关键业务文件。

另一个有趣的现象是,所有新的勒索软件安装程序,有效期都只在一天之内

这意味着,勒索软件活动每天都在改变,就好像它们的作者工作在开发运维(DevOps)模式一样,每天都在向投送合作伙伴发布新的代码。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章