據(jù)外媒報道，最近發(fā)生的美國巴爾的摩和鋁制造商Norsk Hydro的網(wǎng)絡(luò)攻擊事件表明，勒索軟件仍對組織構(gòu)成重大威脅。

自2017年WannaCry以來，勒索軟件隨著SimpleLocker、NotPetya、SamSam和LockerGoga等更新版本的出現(xiàn)而迅速發(fā)展。然而，勒索軟件的核心仍然是相同的。它們通過釣魚郵件或類似的策略進入端點系統(tǒng)，安裝惡意軟件，獲取加密代碼，并加密整個網(wǎng)絡(luò)系統(tǒng)上的數(shù)據(jù)，然后要求受害者支付贖金來解密數(shù)據(jù)。

組織受勒索軟件攻擊后的代價高昂——對巴爾的摩攻擊造成的損失至少為1800萬美元。2017年至2018年間，勒索軟件攻擊的數(shù)量有所下降，但針對企業(yè)的攻擊卻呈上升趨勢，這表明黑客會為了財富繼續(xù)推動勒索軟件攻擊。

黑客清楚，并不是每個組織都及時修補漏洞，所以即使是舊的勒索軟件也可能有效。因為規(guī)模較小的網(wǎng)絡(luò)犯罪組織沒有時間或金錢來投資開發(fā)新的威脅，所以這些舊的勒索軟件通常被規(guī)模較小的網(wǎng)絡(luò)犯罪組織使用。但是現(xiàn)在大多數(shù)的惡意軟件要么由國家運行，要么由專業(yè)的犯罪組織運行，這些組織的目標是那些嚴重依賴他們所擁有的數(shù)據(jù)并有能力將其取回的公司。

公司必須始終防范勒索軟件，但挑戰(zhàn)在于，它發(fā)展很快，使得簽名和模式匹配等傳統(tǒng)技術(shù)越來越難以成功檢測。現(xiàn)在看到的更多的是試圖逃避防御技術(shù)的多態(tài)惡意軟件，而不是簽名可以識別的惡意軟件。

勒索軟件可以通過網(wǎng)絡(luò)上的行為分析功能被檢測，在它從受感染的系統(tǒng)傳播到網(wǎng)絡(luò)的其他部分之前將其關(guān)閉。勒索軟件已經(jīng)進化，它的防御也必須隨之進化。

從分析的角度來看，我們正在尋找不尋常的行為。黑客現(xiàn)在很擅長隱藏他們的惡意軟件。一旦進入網(wǎng)絡(luò)，它們看起來就像一個擁有證書的合法用戶。惡意軟件不會輕易暴露自己，所以行為分析是反擊的關(guān)鍵方法。

當數(shù)據(jù)被加密時，分析變得很重要。web瀏覽器等應(yīng)用程序正在轉(zhuǎn)向TLS加密。然而，惡意軟件也在做同樣的事情。行為分析和觀察加密網(wǎng)絡(luò)流量等可檢測惡意軟件的存在，并限制其可能造成的損害。

當惡意軟件攻擊時，端點第一個開始查找攻擊。端點具有基本的反病毒功能，但惡意軟件可能看到反病毒保護，并采取措施逃避或禁用它。

網(wǎng)絡(luò)在處理勒索軟件方面如此成功的一個原因是黑客無法關(guān)閉網(wǎng)絡(luò)，管理員可以在網(wǎng)絡(luò)上觀察不同類型的行為，而惡意軟件無法阻止他們這樣做。

機器學(xué)習(xí)可以在檢測網(wǎng)絡(luò)的異常行為方面發(fā)揮作用。在機器學(xué)習(xí)場景中，輸入的數(shù)據(jù)越多越好，系統(tǒng)會同時查看網(wǎng)絡(luò)數(shù)據(jù)包和來自不同系統(tǒng)的日志，從而更全面地了解正在發(fā)生的事情。系統(tǒng)所看到的99%可能是噪音，但機器學(xué)習(xí)擅長從大量數(shù)據(jù)中挑選出微弱的信號。

隨著勒索軟件的快速發(fā)展，不太可能發(fā)現(xiàn)所有的惡意軟件，因此網(wǎng)絡(luò)行為分析派上了用場。該技術(shù)可以檢測惡意軟件并識別受感染的系統(tǒng)，使管理員能夠阻止勒索軟件通過網(wǎng)絡(luò)傳播到其他設(shè)備和系統(tǒng)。