過(guò)去六個(gè)星期時(shí)間里,全球已經(jīng)遭受兩次有關(guān)勒索的惡意軟件的大型攻擊,這些惡意軟件會(huì)鎖住儲(chǔ)存在電腦上的照片和其他文件,然后要求支付贖金。
顯而易見,全球需要更好的防御系統(tǒng)。幸運(yùn)的是已經(jīng)開始出現(xiàn)這樣的防御系統(tǒng)了,盡管還剛起步,發(fā)展過(guò)程仍較混雜。當(dāng)這些防御系統(tǒng)得以完善的時(shí)候,我們可能還需要感謝人工智能。
比起其他攻擊你電腦的惡意軟件,勒索軟件不見得更復(fù)雜或者更有要害,但它可能會(huì)更令人惱火,有時(shí)甚至是一大禍害。大多數(shù)木馬病毒不會(huì)像勒索軟件那樣直接當(dāng)面消除你的電子文件,也不會(huì)勒索個(gè)幾百美元,讓你瑟瑟發(fā)抖。
盡管電腦里存在要修復(fù)的系統(tǒng)漏洞,很多人還是不會(huì)更新升級(jí)安全軟件。然而,近期兩起勒索軟件事件都攻擊了那些沒(méi)有安裝幾個(gè)月前就更新發(fā)布的Windows系統(tǒng)的電腦用戶。
當(dāng)然,安全監(jiān)管軟件自身也有問(wèn)題。根據(jù)安全研究人員的說(shuō)法,在本周的勒索軟件攻擊事件中,所測(cè)試的60個(gè)安全監(jiān)管軟件中,最初只有兩個(gè)軟件成功攔截勒索軟件。
加州安全供應(yīng)商專家RyanKalember說(shuō),"許多合法應(yīng)用程序運(yùn)行起來(lái)很像惡意軟件,尤其在Windows系統(tǒng)上,所以而且很難將兩者區(qū)分開來(lái)"。
在早期,可以識(shí)別出病毒等惡意程序,并將其代碼與已知的惡意軟件數(shù)據(jù)庫(kù)相匹配。但該技術(shù)還是依賴于數(shù)據(jù)庫(kù),新變異的惡意軟件一旦出現(xiàn),就能輕松躲過(guò)監(jiān)測(cè)。
因此,安全監(jiān)管軟件公司開始通過(guò)辨別軟件運(yùn)行模式來(lái)監(jiān)測(cè)惡意軟件。至于勒索軟件,監(jiān)管軟件可以監(jiān)測(cè)那些重復(fù)加密鎖定文件的運(yùn)行模式。但這也會(huì)標(biāo)記像文件壓縮這樣正常的計(jì)算機(jī)運(yùn)行方式為惡意行為。
更新的技術(shù)涉及尋找綜合的運(yùn)行方式。例如,新西蘭安全公司Emsisoft的首席技術(shù)官FabianWosar說(shuō),一個(gè)程序開始加密文件,而不顯示屏幕上的進(jìn)度條,可能會(huì)被標(biāo)記為暗中運(yùn)行方式。但這也有可能出現(xiàn)因鎖定一些文件,導(dǎo)致太晚識(shí)別惡意軟件的風(fēng)險(xiǎn)。
更好的識(shí)別方法是監(jiān)測(cè)通常跟惡意軟件目的相關(guān)的一些顯性特征。例如,有的程序會(huì)偽裝成PDF圖標(biāo),以隱藏其惡意軟件的事實(shí)。這種惡意軟件的性能分析不需要精確的代碼匹配,因此惡意軟件無(wú)法輕易躲過(guò)監(jiān)測(cè)。而且這種監(jiān)測(cè)可以先于具有潛在危險(xiǎn)的程序運(yùn)行之前進(jìn)行。
機(jī)器VS機(jī)器
僅兩三個(gè)特征可能無(wú)法正確區(qū)分惡意軟件和合法軟件。但幾十個(gè)特征呢?幾百個(gè)呢?甚至幾千個(gè)呢?
為此,安全研究人員求助于機(jī)器學(xué)習(xí),也是人工智能的一種形式。安全系統(tǒng)分析了惡意軟件和合法軟件的樣本,并找出了惡意軟件的綜合因素。
遇到新軟件時(shí),系統(tǒng)會(huì)自動(dòng)計(jì)算出它可能是惡意軟件的概率,并阻止那些概率高于某一閾值的軟件。如果有些軟件想要通過(guò)監(jiān)測(cè),就需要改進(jìn)運(yùn)算或調(diào)整閾值。研究人員有時(shí)碰到新的惡意行為,便在機(jī)器上做出新調(diào)整。
一場(chǎng)軍備競(jìng)賽
另一方面,惡意軟件作者也可以獲取這些安全監(jiān)測(cè)工具,并對(duì)代碼進(jìn)行調(diào)整,以判斷惡意軟件是否能躲過(guò)檢測(cè)。一些網(wǎng)站已經(jīng)開始提供針對(duì)主要安全系統(tǒng)的軟件測(cè)試。最終,惡意軟件作者可能會(huì)開始他們自己的機(jī)器學(xué)習(xí)模式,以擊敗安全的人工智能系統(tǒng)。
加州供應(yīng)商CrowdStrike的聯(lián)合創(chuàng)始人和首席技術(shù)官Alperovitch說(shuō),"即使某個(gè)安全系統(tǒng)提供99%的保障系數(shù),但如何在多次攻擊中成為躲過(guò)的那1%,僅僅是一個(gè)數(shù)學(xué)問(wèn)題。"
不過(guò),運(yùn)用機(jī)器學(xué)習(xí)的一些安全軟件公司聲稱,已經(jīng)成功阻止了大多數(shù)惡意軟件,而且不僅僅是勒索軟件。SentinelOne提供100萬(wàn)美元來(lái)攔截惡意軟件。
一個(gè)根本性的挑戰(zhàn)
為什么勒索軟件還能在最近幾周內(nèi)傳播呢?
隨著許多軟件將運(yùn)行監(jiān)測(cè)和機(jī)器學(xué)習(xí)技術(shù)結(jié)合,即使是一些免費(fèi)的殺毒軟件,也能攔截各種新形式的惡意軟件。
但這類軟件仍依賴于惡意軟件數(shù)據(jù)庫(kù),用戶通常無(wú)法及時(shí)更新數(shù)據(jù)庫(kù)。諸如CrowdStrike、SentinelOne和Cylance之類新一代服務(wù)公司傾向于徹底拋棄數(shù)據(jù)庫(kù),轉(zhuǎn)而使用機(jī)器學(xué)習(xí)。
但這些服務(wù)主要面向企業(yè)客戶,每臺(tái)電腦每年收取40至50美元的費(fèi)用。規(guī)模較小的企業(yè)往往沒(méi)有這類的預(yù)算。
忘了提消費(fèi)者,這些安全服務(wù)公司還沒(méi)有向他們銷售產(chǎn)品。雖然Cylance計(jì)劃在今年7月發(fā)布一個(gè)消費(fèi)者版本,但該公司表示,在有人遭到惡意軟件攻擊,或認(rèn)識(shí)的某位親友有這種遭遇之前,這都將是一項(xiàng)艱難的銷售。
正如Cylance首席執(zhí)行官斯圖爾特Stuart McClure所言:"沒(méi)遭受龍卷風(fēng)的襲擊前,你怎么會(huì)去買龍卷風(fēng)保險(xiǎn)呢?"
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )