Niara是一家硅谷安全公司,從隱秘模式走到大眾眼前也只不過1年的時間。本周,該初創公司發布了一款新型用戶與實體行為分析(UEBA)工具,可以檢測現有和未知的勒索軟件。
基于可能性方法檢測勒索軟件的不僅僅有Niara一家,但Niara用以檢測勒索軟件殺傷鏈不同階段異常情況的特定監管和非監管模塊的數量,讓它在其競爭者中顯得鶴立雞群。
Niara本可以將自己描述為下一代反惡意軟件公司,但它無意這么做。Niara并不想替代現有的安全防御,而是去增強它們。直到最近,大部分威脅要么已知,要么很容易就能被鑒別出來,可被現有工具捕獲。這些威脅又沒有逃走,為什么要費勁把能起作用的工具替換掉呢?
行為分析的長處,在于“灰色地帶”。比如說釣鯨郵件。這類針對企業的詐騙電子郵件或許根本不含有不良元素,現有防御無處著力。就拿Niara做例子。惡意行為人可以建立一個名為“N1ARA.COM”的站點(注意,第二個字符是數字1而不是字母i),由此偽造一封郵件裝作是Niara的首席執行官,指示首席財務官向指定賬戶匯款。這樣的郵件里可能根本沒包含任何惡意鏈接,但卻很容易讓人誤以為真的是從NIARA.COM發出的。
事實上,這種惡意行為里,真沒什么可供傳統防御措施報警的。但是,機器學習語言學分析模塊就能檢查域名,看出這是一個與Niara.com相似但并不是Niara.com的域名,據此向用戶或管理員報警,提醒他們去檢查是否有可能是一起安全事件。
Niara的新產品由多個模塊組成,能檢查感染事件的不同階段。可能一個模塊在檢查郵件頭有無異常,另一個模塊就掃描附件——不是查找已知甚或未知惡意軟件,而是檢查文檔的結構。其他異常也可以被檢測。目前還沒什么具體的東西。這些異常可能是完全良性的——但還是會給出一個分值。用戶可以將系統設置為一有微弱的不良信號就報警,也可以設置為待這些信號累計到夠分量再報警。
如果這些弱信號沒有超過用戶設置的報警閾值,下一個模塊就會接管。但是,系統已經發現了這些‘弱信號’,會記住并為用戶打出這些信號相應的危險程度分值。隨時間流逝,系統會為用戶建立起特定的‘正常行為模式’。如果之后檢測到該用戶表現出C2連接模式,發出3個弱信號,但疊加分值相當于1個強信號,那么警報就會被觸發。也許是瞬間發生的,也許是長期持續的攻擊,無論如何,行為分析都將檢測到。
這一基本概念可以應用到任意惡意軟件上,不過Niara也有一些模塊是特別定制為檢測與勒索軟件有關的網絡偏差的。比如說網絡掃描、主機加密嘗試或網絡文件共享或者云存儲服務等的指征。有些特定訪問模式是可以被檢測出來的,它們與其他很多類型的惡意軟件相關模式都不一樣。
Niara的威脅檢測中包含的機器學習模塊既有監管型的也有非監管型的。DNS模塊就是監管型的學習模塊——完全在Niara自己的實驗室里‘調教’出來。讓Niara在市場上獨樹一幟的,是他們有一系列的模塊用以監測惡意軟件殺傷鏈中的不同階段,并且其中應用了綜合監管與非監管的機器學習技術。非監管方式通常在發現異常上表現良好,而監管型模塊則擅長標記惡意意圖。最終目的,是在殺傷鏈中盡早檢測出惡意軟件的指征。
京公網安備 11010502049343號