6周內(nèi)2次,全世界被勒索軟件攻擊攪了個人仰馬翻。這種鎖定電腦上文件來要錢的的惡意軟件,令人痛苦抓狂又莫可奈何。
很明顯,世界需要更好的防御手段,而這些手段也很應(yīng)景地開始出現(xiàn)了——雖然來得很慢,且是以修修補補的方式出現(xiàn)。它們的到來,我們應(yīng)感謝人工智能。
勒索軟件未必比偷偷潛入我們電腦的其他惡意軟件更狡詐或危險,但卻更惡劣,有時候甚至是毀滅性的。其他惡意軟件大多不會采用勒索軟件的粗暴方式奪走你的數(shù)字資產(chǎn),也不會威脅你交出幾百美元贖金。
除了這些風(fēng)險,很多人還不擅長跟上安全軟件更新。最近的兩次大規(guī)模勒索軟件攻擊,痛打的是沒裝上幾個月前就發(fā)布的Windows更新的那些人。
安全軟件自身也有問題。比如上周的勒索軟件攻擊,安全研究人員測試的60種安全服務(wù)中,僅有2種檢測到了。
加州安全廠商Proofpoint的專家稱:“很多普通應(yīng)用,尤其是Windows上的應(yīng)用,與惡意軟件的表現(xiàn)也相差無幾,很難鑒別出來。”
怎樣找出惡意軟件
早期時候,九江服務(wù)器 東莞服務(wù)器,識別病毒之類的惡意程序,一般就是將代碼與已知惡意軟件數(shù)據(jù)庫做匹配。但該技術(shù)只能鑒別出數(shù)據(jù)庫中包含的已知惡意軟件,對新變種無能為力。
于是,安全公司開始根據(jù)軟件行為描述惡意軟件。勒索軟件的案例中,安全軟件可以檢測通過加密來鎖定文件的行為。但這樣又可能會把正常的計算機操作也誤報成勒索軟件,比如文件壓縮行為。
更新的技術(shù)涉及檢查行為組合。比如,不顯示進度條的文件加密行為,就可能被標(biāo)記為可疑隱秘行為。但這也有識別出有害軟件太遲的風(fēng)險,可能導(dǎo)致部分文件已被鎖定。
更好的惡意軟件識別方法,通過觀察通常與不良意圖相關(guān)的特征:比如,偽裝PDF圖標(biāo)以掩飾其真實意圖的程序,就會被隔離。
此類惡意軟件分析不依賴具體代碼匹配,也就不容易被規(guī)避。而且,可以在潛在危險程序開始執(zhí)行前就執(zhí)行此類檢測。
機器 VS 機器
誠然,域名免費備案 directadmin購買,2到3種特征可能無法正確區(qū)分惡意軟件和合法軟件。但幾十個特征呢?上百,乃至上千種呢?
對此,安全研究人員轉(zhuǎn)向了機器學(xué)習(xí)——人工智能的一種形式。該安全系統(tǒng)分析良性和惡意軟件樣本,找出惡意軟件中可能會出現(xiàn)的因素組合。
遭遇新軟件時,該系統(tǒng)會計算其是惡意軟件的概率,根據(jù)既定閾值進行屏蔽或放行。若有惡意軟件潛入,只需調(diào)整計算或重設(shè)閾值即可。時不時地,研究人員就會用新行為訓(xùn)練機器學(xué)習(xí)算法。
軍備競賽
另一方面,惡意軟件作者也可獲得這些安全工具,調(diào)整自己的代碼,查看能否規(guī)避檢測。有些網(wǎng)站已提供了用主流安全系統(tǒng)檢測軟件的接口。最終,惡意軟件作者會開始創(chuàng)建他們自己的機器學(xué)習(xí)模型,對戰(zhàn)安全人工智能。
德米特里·阿爾普洛維奇,加州安全廠商CrowdStrike共同創(chuàng)始人兼首席技術(shù)官,稱即便某系統(tǒng)提供99%的防御,調(diào)整攻擊以獲取那1%的成功也只是個數(shù)學(xué)問題。
不過,采用機器學(xué)習(xí)的安全公司仍然宣稱可封鎖絕大部分惡意軟件,不僅僅是勒索軟件。SentinelOne甚至為勒索軟件提供100萬美元的擔(dān)保,而且至今尚未有任何賠付。
根本挑戰(zhàn)
那么,為什么勒索軟件依然橫行呢?
普通殺毒軟件,甚至一些免費版,都能幫助封鎖新型惡意軟件——因為很多都加入了行為檢測和機器學(xué)習(xí)技術(shù)。但此類軟件仍然依賴那些用戶不太擅長更新的惡意軟件數(shù)據(jù)庫。
下一代服務(wù),比如CrowdStrike、SentinelOne和Cylance,傾向于用機器學(xué)習(xí)完全替代數(shù)據(jù)庫。
但這些服務(wù)專注企業(yè)客戶,每臺電腦年度許可要40~50美元。中小企業(yè)往往不具備此等預(yù)算,或者不關(guān)注此類防御。
這些安全公司也尚未打算發(fā)售消費級產(chǎn)品。盡管Cylance計劃在7月發(fā)布消費者版本,該公司同時也稱該銷售很難實施——至少要到個人遭到攻擊或知道有親朋遭到攻擊才會考慮發(fā)售。
正如Cylance首席執(zhí)行官指出的:“沒遭到龍卷風(fēng)襲擊的時候,何必要買龍卷風(fēng)保險呢?”
