这家公司将UEBA引入勒索软件检测

简介: 本文讲的是这家公司将UEBA引入勒索软件检测,Niara是一家硅谷安全公司,从隐秘模式走到大众眼前也只不过1年的时间。

本文讲的是这家公司将UEBA引入勒索软件检测,Niara是一家硅谷安全公司,从隐秘模式走到大众眼前也只不过1年的时间。本周,该初创公司发布了一款新型用户与实体行为分析(UEBA)工具,可以检测现有和未知的勒索软件。

image

基于可能性方法检测勒索软件的不仅仅有Niara一家,但Niara用以检测勒索软件杀伤链不同阶段异常情况的特定监管和非监管模块的数量,让它在其竞争者中显得鹤立鸡群。

Niara本可以将自己描述为下一代反恶意软件公司,但它无意这么做。Niara并不想替代现有的安全防御,而是去增强它们。直到最近,大部分威胁要么已知,要么很容易就能被鉴别出来,可被现有工具捕获。这些威胁又没有逃走,为什么要费劲把能起作用的工具替换掉呢?

行为分析的长处,在于“灰色地带”。比如说钓鲸邮件。这类针对企业的诈骗电子邮件或许根本不含有不良元素,现有防御无处着力。就拿Niara做例子。恶意行为人可以建立一个名为“N1ARA.COM”的站点(注意,第二个字符是数字1而不是字母i),由此伪造一封邮件装作是Niara的首席执行官,指示首席财务官向指定账户汇款。这样的邮件里可能根本没包含任何恶意链接,但却很容易让人误以为真的是从NIARA.COM发出的。

事实上,这种恶意行为里,真没什么可供传统防御措施报警的。但是,机器学习语言学分析模块就能检查域名,看出这是一个与Niara.com相似但并不是Niara.com的域名,据此向用户或管理员报警,提醒他们去检查是否有可能是一起安全事件。

Niara的新产品由多个模块组成,能检查感染事件的不同阶段。可能一个模块在检查邮件头有无异常,另一个模块就扫描附件——不是查找已知甚或未知恶意软件,而是检查文档的结构。其他异常也可以被检测。目前还没什么具体的东西。这些异常可能是完全良性的——但还是会给出一个分值。用户可以将系统设置为一有微弱的不良信号就报警,也可以设置为待这些信号累计到够分量再报警。

如果这些弱信号没有超过用户设置的报警阈值,下一个模块就会接管。但是,系统已经发现了这些‘弱信号’,会记住并为用户打出这些信号相应的危险程度分值。随时间流逝,系统会为用户建立起特定的‘正常行为模式’。如果之后检测到该用户表现出C2连接模式,发出3个弱信号,但叠加分值相当于1个强信号,那么警报就会被触发。也许是瞬间发生的,也许是长期持续的攻击,无论如何,行为分析都将检测到。

这一基本概念可以应用到任意恶意软件上,不过Niara也有一些模块是特别定制为检测与勒索软件有关的网络偏差的。比如说网络扫描、主机加密尝试或网络文件共享或者云存储服务等的指征。有些特定访问模式是可以被检测出来的,它们与其他很多类型的恶意软件相关模式都不一样。

Niara的威胁检测中包含的机器学习模块既有监管型的也有非监管型的。DNS模块就是监管型的学习模块——完全在Niara自己的实验室里‘调教’出来。让Niara在市场上独树一帜的,是他们有一系列的模块用以监测恶意软件杀伤链中的不同阶段,并且其中应用了综合监管与非监管的机器学习技术。非监管方式通常在发现异常上表现良好,而监管型模块则擅长标记恶意意图。最终目的,是在杀伤链中尽早检测出恶意软件的指征。

原文发布时间为: 八月 6, 2016
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/tools-tech/18359.html

相关文章
|
安全 小程序 开发者
能提前发现和修补漏洞 支付宝安全实验室在BlackHat推出两款移动安全工具
近日,在全球顶级黑帽盛会“Blackhat Europe 2019欧洲黑帽大会”上,支付宝安全实验室受邀参会,并分享了两款移动安全工具。
508 0
能提前发现和修补漏洞 支付宝安全实验室在BlackHat推出两款移动安全工具
|
Web App开发 安全 数据安全/隐私保护
McAfee:“极光攻击”将会盛行
在周三的RSA 2010大会发言中,McAfee的研究人员表示,以获取企业源代码为目的的网络犯罪正在盛行,而企业对此方面的保护略显不足。 在RSA 2010上,McAfee展示了一个分析报告,关于对Perforce公司(一个做住房产权软件的公司)的调查。
1121 0
|
Web App开发 安全 Windows
微软将迎来迄今最大补丁日 一次修补49个漏洞
据国外媒体报道,微软下周二将发布16个补丁程序,总计修复高达49处漏洞,是迄今为止修复漏洞数量最多的一个“补丁日”。 每月的第二个星期二为微软的“补丁日”,即发布一系列补丁程序,修复存在于微软各大产品中的漏洞。
899 0
|
安全 NoSQL 关系型数据库
全球MySQL数据库沦为新一轮勒索软件攻击目标
本文讲的是全球MySQL数据库沦为新一轮勒索软件攻击目标,上个月,全球范围内大量 MongoDB因为配置不当导致公网匿名可访问,遭到勒索软件攻击,删除业务数据并索要赎金后才给恢复数据。近日,GuardiCore警告称,成千上万的MySQL数据库正成为勒索软件攻击的潜在受害者,这似乎是MongoDB“洗劫”活动的升级。
1857 0
|
安全 物联网 区块链
勒索软件爆发的真正原因竟然是因为比特币的匿名性
本文讲的是勒索软件爆发的真正原因竟然是因为比特币的匿名性,勒索软件自从1989年首次被发现之后,攻击性和威胁性就一直在进化,过去几年中,随着它对普通用户、企业、医院和政府机构的攻击变得更加容易,勒索软件的数量更是出现了井喷式的发展。
1503 0
|
算法 安全 数据安全/隐私保护
勒索软件全球持续肆虐,新增多种攻击能力
本文讲的是勒索软件全球持续肆虐,新增多种攻击能力,Ransomware在最近几年已经开始广泛存在了,目前为止已经对众多企业、金融机构、全球医院乃至个人都发起过攻击,而网络犯罪分子利用其赚了数百万美元。
1552 0
|
安全
调查|73%的公司正使用存在漏洞的超期服役设备
本文讲的是调查|73%的公司正使用存在漏洞的超期服役设备,一份新近的调查覆盖了北美350家机构的212000台思科设备。结果显示,73%的企业正在使用存在漏洞、超期服役的网络设备。该数字在上一年仅为60%。
1308 0