机器学习可以帮助公司更快地反应赎金软件
文件加密赎金软件程序已成为全球公司网络的最大威胁之一,并且通过添加日益复杂的检测逃离和传播技术不断发展。
在任何自尊的恶意软件作者确保他的创作绕过防病毒检测之前,企业安全团队被迫专注于改善他们的响应时间,而不是试图阻止他们所有人,这可能是一个丢失游戏。
Exabeam,用户和实体行为分析的提供者认为,机器学习算法可以显着提高勒索省软件检测和反应时间,防止这些程序在网络内部扩展并影响更多的系统。
由于勒索软件作者提出的解密价格是计算每个系统的计算,因此尽快隔离受影响的计算机至关重要。只有上周,卡尔加里大学宣布,它支付了20,000美元(约有15,600美元)的赎金制品作者,以获取多个系统的解密密钥。
exabeam的赎金Ware的分析,这是今天宣布的新产品,使用该公司的现有行为分析技术在发生后不久检测赎金软件感染。
该产品使用公司现有日志的数据来构建计算机和用户的行为配置文件。这允许它通过分析员工文件和文档行为中的异常,在没有预先存在的检测签名的情况下检测先前未知的勒索软件。
为了避免虚假的阳性检测,当多种可疑活动的综合风险评分可能指示这种类型的威胁达到某个门槛时,技术将事件标记为赎金软件。
EXABEAM的安全研究团队通过在测试计算机上执行一个非常大量的赎金软件样本并让它观察其行为来建立威胁模型来帮助培训产品在实验室中的产品。
exabeamexabeam基于行为异常构建威胁分数。
该产品没有阻塞功能本身,旨在由公司的安全分析师使用,以便快速现货并响应安全事件。它可以作为公司的更大分析平台作为附加版,这可能已经检测到违反内部公司的安全政策。
即使没有内置的威胁中和功能,平台也可以与其他安全工具集成,并允许分析师创建当检测到事件时自动执行的管理脚本 - 例如,立即将受感染的计算机隔离其余的网络。
Ransomware通常通过驱动器通过下载攻击和网络钓鱼电子邮件分发,这意味着计算机基于用户的“操作”逐渐影响。但是,在公司设置中,勒索软件可以通过影响文档共享服务器和员工使用的其他协作服务的文件轻松地扩展到单个计算机之外。
最近,一些赎金软件课程甚至获得了蠕虫,自扩展能力。一旦这样的威胁被称为zcrypt,它将自身复制到外部USB驱动器,从它通过Rogue autorun.inf文件执行的位置。
通过在实验室环境中运行一个非常大量的赎金软件样本,Exabeam的研究人员还观察到了一些有趣的趋势:例如,初步增加了赎金价格。
“两三个月前大多数赎金的价值观在0.4到1比特币之间,”埃及威胁研究负责人Barry Shteiman说。“这在过去一个月发生了变化,价格现在在2到5位比特币之间。”
这也可以由许多赎金制品作者现在专注于目标企业,公司愿意并能够支付超过消费者的事实,以便恢复关键的业务档案。
另一个有趣的观察是,没有新的赎金软件安装程序仍然是多一天的功能。
这表明“赎金软件活动每天都在变化,”Shteiman说。“它就像他们的创造者在Devops模式下工作,每天都会将新代码释放到他们的垃圾邮件合作伙伴。”