Niara是一家硅谷安全公司,從隱秘模式走到大眾眼前也只不過(guò)1年的時(shí)間。本周,該初創(chuàng)公司發(fā)布了一款新型用戶與實(shí)體行為分析(UEBA)工具,可以檢測(cè)現(xiàn)有和未知的勒索軟件。
基于可能性方法檢測(cè)勒索軟件的不僅僅有Niara一家,但Niara用以檢測(cè)勒索軟件殺傷鏈不同階段異常情況的特定監(jiān)管和非監(jiān)管模塊的數(shù)量,讓它在其競(jìng)爭(zhēng)者中顯得鶴立雞群。
Niara本可以將自己描述為下一代反惡意軟件公司,但它無(wú)意這么做。Niara并不想替代現(xiàn)有的安全防御,而是去增強(qiáng)它們。直到最近,大部分威脅要么已知,要么很容易就能被鑒別出來(lái),可被現(xiàn)有工具捕獲。這些威脅又沒(méi)有逃走,為什么要費(fèi)勁把能起作用的工具替換掉呢?
行為分析的長(zhǎng)處,在于“灰色地帶”。比如說(shuō)釣鯨郵件。這類針對(duì)企業(yè)的詐騙電子郵件或許根本不含有不良元素,現(xiàn)有防御無(wú)處著力。就拿Niara做例子。惡意行為人可以建立一個(gè)名為“N1ARA.COM”的站點(diǎn)(注意,第二個(gè)字符是數(shù)字1而不是字母i),由此偽造一封郵件裝作是Niara的首席執(zhí)行官,指示首席財(cái)務(wù)官向指定賬戶匯款。這樣的郵件里可能根本沒(méi)包含任何惡意鏈接,但卻很容易讓人誤以為真的是從NIARA.COM發(fā)出的。
事實(shí)上,這種惡意行為里,真沒(méi)什么可供傳統(tǒng)防御措施報(bào)警的。但是,機(jī)器學(xué)習(xí)語(yǔ)言學(xué)分析模塊就能檢查域名,看出這是一個(gè)與Niara.com相似但并不是Niara.com的域名,據(jù)此向用戶或管理員報(bào)警,提醒他們?nèi)z查是否有可能是一起安全事件。
Niara的新產(chǎn)品由多個(gè)模塊組成,能檢查感染事件的不同階段??赡芤粋€(gè)模塊在檢查郵件頭有無(wú)異常,另一個(gè)模塊就掃描附件——不是查找已知甚或未知惡意軟件,而是檢查文檔的結(jié)構(gòu)。其他異常也可以被檢測(cè)。目前還沒(méi)什么具體的東西。這些異??赡苁峭耆夹缘?mdash;—但還是會(huì)給出一個(gè)分值。用戶可以將系統(tǒng)設(shè)置為一有微弱的不良信號(hào)就報(bào)警,也可以設(shè)置為待這些信號(hào)累計(jì)到夠分量再報(bào)警。
如果這些弱信號(hào)沒(méi)有超過(guò)用戶設(shè)置的報(bào)警閾值,下一個(gè)模塊就會(huì)接管。但是,系統(tǒng)已經(jīng)發(fā)現(xiàn)了這些‘弱信號(hào)’,會(huì)記住并為用戶打出這些信號(hào)相應(yīng)的危險(xiǎn)程度分值。隨時(shí)間流逝,系統(tǒng)會(huì)為用戶建立起特定的‘正常行為模式’。如果之后檢測(cè)到該用戶表現(xiàn)出C2連接模式,發(fā)出3個(gè)弱信號(hào),但疊加分值相當(dāng)于1個(gè)強(qiáng)信號(hào),那么警報(bào)就會(huì)被觸發(fā)。也許是瞬間發(fā)生的,也許是長(zhǎng)期持續(xù)的攻擊,無(wú)論如何,行為分析都將檢測(cè)到。
這一基本概念可以應(yīng)用到任意惡意軟件上,不過(guò)Niara也有一些模塊是特別定制為檢測(cè)與勒索軟件有關(guān)的網(wǎng)絡(luò)偏差的。比如說(shuō)網(wǎng)絡(luò)掃描、主機(jī)加密嘗試或網(wǎng)絡(luò)文件共享或者云存儲(chǔ)服務(wù)等的指征。有些特定訪問(wèn)模式是可以被檢測(cè)出來(lái)的,它們與其他很多類型的惡意軟件相關(guān)模式都不一樣。
Niara的威脅檢測(cè)中包含的機(jī)器學(xué)習(xí)模塊既有監(jiān)管型的也有非監(jiān)管型的。DNS模塊就是監(jiān)管型的學(xué)習(xí)模塊——完全在Niara自己的實(shí)驗(yàn)室里‘調(diào)教’出來(lái)。讓Niara在市場(chǎng)上獨(dú)樹(shù)一幟的,是他們有一系列的模塊用以監(jiān)測(cè)惡意軟件殺傷鏈中的不同階段,并且其中應(yīng)用了綜合監(jiān)管與非監(jiān)管的機(jī)器學(xué)習(xí)技術(shù)。非監(jiān)管方式通常在發(fā)現(xiàn)異常上表現(xiàn)良好,而監(jiān)管型模塊則擅長(zhǎng)標(biāo)記惡意意圖。最終目的,是在殺傷鏈中盡早檢測(cè)出惡意軟件的指征。