顯而易見,全球需要更好的防御系統(tǒng)。幸運的是已經(jīng)開始出現(xiàn)這樣的防御系統(tǒng)了,盡管還剛起步,發(fā)展過程仍較混雜。當(dāng)這些防御系統(tǒng)得以完善的時候,我們可能還需要感謝人工智能。
比起其他攻擊你電腦的惡意軟件,勒索軟件不見得更復(fù)雜或者更有要害,但它可能會更令人惱火,有時甚至是一大禍害。大多數(shù)木馬病毒不會像勒索軟件那樣直接當(dāng)面消除你的電子文件,也不會勒索個幾百美元,讓你瑟瑟發(fā)抖。
盡管電腦里存在要修復(fù)的系統(tǒng)漏洞,很多人還是不會更新升級安全軟件。然而,近期兩起勒索軟件事件都攻擊了那些沒有安裝幾個月前就更新發(fā)布的Windows系統(tǒng)的電腦用戶。
當(dāng)然,安全監(jiān)管軟件自身也有問題。根據(jù)安全研究人員的說法,在本周的勒索軟件攻擊事件中,所測試的60個安全監(jiān)管軟件中,最初只有兩個軟件成功攔截勒索軟件。
加州安全供應(yīng)商專家RyanKalember說,“許多合法應(yīng)用程序運行起來很像惡意軟件,尤其在Windows系統(tǒng)上,所以而且很難將兩者區(qū)分開來”。
在早期,可以識別出病毒等惡意程序,并將其代碼與已知的惡意軟件數(shù)據(jù)庫相匹配。但該技術(shù)還是依賴于數(shù)據(jù)庫,新變異的惡意軟件一旦出現(xiàn),就能輕松躲過監(jiān)測。
因此,安全監(jiān)管軟件公司開始通過辨別軟件運行模式來監(jiān)測惡意軟件。至于勒索軟件,監(jiān)管軟件可以監(jiān)測那些重復(fù)加密鎖定文件的運行模式。但這也會標(biāo)記像文件壓縮這樣正常的計算機運行方式為惡意行為。
更新的技術(shù)涉及尋找綜合的運行方式。例如,新西蘭安全公司Emsisoft的首席技術(shù)官FabianWosar說,一個程序開始加密文件,而不顯示屏幕上的進度條,可能會被標(biāo)記為暗中運行方式。但這也有可能出現(xiàn)因鎖定一些文件,導(dǎo)致太晚識別惡意軟件的風(fēng)險。
更好的識別方法是監(jiān)測通常跟惡意軟件目的相關(guān)的一些顯性特征。例如,有的程序會偽裝成PDF圖標(biāo),以隱藏其惡意軟件的事實。這種惡意軟件的性能分析不需要精確的代碼匹配,因此惡意軟件無法輕易躲過監(jiān)測。而且這種監(jiān)測可以先于具有潛在危險的程序運行之前進行。
機器VS機器
僅兩三個特征可能無法正確區(qū)分惡意軟件和合法軟件。但幾十個特征呢?幾百個呢?甚至幾千個呢?
為此,安全研究人員求助于機器學(xué)習(xí),也是人工智能的一種形式。安全系統(tǒng)分析了惡意軟件和合法軟件的樣本,并找出了惡意軟件的綜合因素。
遇到新軟件時,系統(tǒng)會自動計算出它可能是惡意軟件的概率,并阻止那些概率高于某一閾值的軟件。如果有些軟件想要通過監(jiān)測,就需要改進運算或調(diào)整閾值。研究人員有時碰到新的惡意行為,便在機器上做出新調(diào)整。
一場軍備競賽
另一方面,惡意軟件作者也可以獲取這些安全監(jiān)測工具,并對代碼進行調(diào)整,以判斷惡意軟件是否能躲過檢測。一些網(wǎng)站已經(jīng)開始提供針對主要安全系統(tǒng)的軟件測試。最終,惡意軟件作者可能會開始他們自己的機器學(xué)習(xí)模式,以擊敗安全的人工智能系統(tǒng)。
加州供應(yīng)商CrowdStrike的聯(lián)合創(chuàng)始人和首席技術(shù)官Alperovitch說,“即使某個安全系統(tǒng)提供99%的保障系數(shù),但如何在多次攻擊中成為躲過的那1%,僅僅是一個數(shù)學(xué)問題。”
不過,運用機器學(xué)習(xí)的一些安全軟件公司聲稱,已經(jīng)成功阻止了大多數(shù)惡意軟件,而且不僅僅是勒索軟件。SentinelOne提供100萬美元來攔截惡意軟件。
一個根本性的挑戰(zhàn)
為什么勒索軟件還能在最近幾周內(nèi)傳播呢?
隨著許多軟件將運行監(jiān)測和機器學(xué)習(xí)技術(shù)結(jié)合,即使是一些免費的殺毒軟件,也能攔截各種新形式的惡意軟件。
但這類軟件仍依賴于惡意軟件數(shù)據(jù)庫,用戶通常無法及時更新數(shù)據(jù)庫。諸如CrowdStrike、SentinelOne和Cylance之類新一代服務(wù)公司傾向于徹底拋棄數(shù)據(jù)庫,轉(zhuǎn)而使用機器學(xué)習(xí)。
但這些服務(wù)主要面向企業(yè)客戶,每臺電腦每年收取40至50美元的費用。規(guī)模較小的企業(yè)往往沒有這類的預(yù)算。
忘了提消費者,這些安全服務(wù)公司還沒有向他們銷售產(chǎn)品。雖然Cylance計劃在今年7月發(fā)布一個消費者版本,但該公司表示,在有人遭到惡意軟件攻擊,或認(rèn)識的某位親友有這種遭遇之前,這都將是一項艱難的銷售。
正如Cylance首席執(zhí)行官斯圖爾特Stuart McClure所言:“沒遭受龍卷風(fēng)的襲擊前,你怎么會去買龍卷風(fēng)保險呢?”
分享到微信 ×
打開微信,點擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。