通過監控電力消耗來檢測惡意軟件,這可能嗎?它適合企業使用嗎?在本文中,企業威脅專家Nick Lewis將探討這個問題。
AD:
Nick Lewis(CISSP,GCWN))是一名信息安全分析師。他主要負責風險管理項目,并支持該項目的技術PCI法規遵從計劃。2002年,Nick獲得密歇根州立大學的電信理學碩士學位;2005年,又獲得Norwich大學的信息安全保障理學碩士學位。在他09年加入目前的組織之前,Nick曾在波士頓兒童醫院、哈佛醫學院初級兒科教學醫院,以及Internet2和密歇根州立大學工作。
通過監控電力消耗來檢測惡意軟件,這可能嗎?它適合企業使用嗎?在本文中,企業威脅專家Nick Lewis將探討這個問題。
一家安全初創公司聲稱其開發的新技術可以通過監控系統或設備的電力消耗來提高惡意軟件檢測率。這種技術的工作原理是什么,這是否是企業檢測和應對威脅的可行方法?
Nick Lewis:PFP Cybersecurity聲稱其產品可以檢測很多不同平臺的惡意軟件和零日攻擊,這些平臺包括SCADA、半導體、移動設備和網絡設備等。該產品會監控功率使用情況,并通過“帶外、物理層的方法”檢測功率模式中的異常情況。對于具有敏感電源配置或受到密切監控的系統而言,使用電源或電池使用中的變化情況是檢測異常的合理方法,這好比監控網絡連接來發現正常活動中的變化。
PFP的產品采用了所謂的“側信道攻擊”檢測;一臺外部設備監測功耗情況來確定內部操作中的變化。這樣的攻擊已被用于提取加密密鑰以進一步說明側信道攻擊/監測的功率。當執行加密或任何CPU操作時,計算機或設備需要一定量的功率來執行計算。計算越密集,需要的功率越多。在具有可預測功耗曲線的系統中,電力使用變化可能是惡意軟件所導致,這表明應對一些情況進行調查。
但同樣重要的是,在不同類型的系統中總是會發生小功率變化,例如當更新推送到系統時、故障排查時、高峰使用期間等。
PFP安全工具可能適合于受控制的環境,而不一定適合一般企業用途(雖然PFP不認為是這樣)。該工具可能需要很大程度的調試和監測,但在端點不能改變或難以監測的設置中,PFP Cybersecurity的工具會很有價值。
京公網安備 11010502049343號