本文讲的是这家公司将UEBA引入勒索软件检测,Niara是一家硅谷安全公司,从隐秘模式走到大众眼前也只不过1年的时间。本周,该初创公司发布了一款新型用户与实体行为分析(UEBA)工具,可以检测现有和未知的勒索软件。
基于可能性方法检测勒索软件的不仅仅有Niara一家,但Niara用以检测勒索软件杀伤链不同阶段异常情况的特定监管和非监管模块的数量,让它在其竞争者中显得鹤立鸡群。
Niara本可以将自己描述为下一代反恶意软件公司,但它无意这么做。Niara并不想替代现有的安全防御,而是去增强它们。直到最近,大部分威胁要么已知,要么很容易就能被鉴别出来,可被现有工具捕获。这些威胁又没有逃走,为什么要费劲把能起作用的工具替换掉呢?
行为分析的长处,在于“灰色地带”。比如说钓鲸邮件。这类针对企业的诈骗电子邮件或许根本不含有不良元素,现有防御无处着力。就拿Niara做例子。恶意行为人可以建立一个名为“N1ARA.COM”的站点(注意,第二个字符是数字1而不是字母i),由此伪造一封邮件装作是Niara的首席执行官,指示首席财务官向指定账户汇款。这样的邮件里可能根本没包含任何恶意链接,但却很容易让人误以为真的是从NIARA.COM发出的。
事实上,这种恶意行为里,真没什么可供传统防御措施报警的。但是,机器学习语言学分析模块就能检查域名,看出这是一个与Niara.com相似但并不是Niara.com的域名,据此向用户或管理员报警,提醒他们去检查是否有可能是一起安全事件。
Niara的新产品由多个模块组成,能检查感染事件的不同阶段。可能一个模块在检查邮件头有无异常,另一个模块就扫描附件——不是查找已知甚或未知恶意软件,而是检查文档的结构。其他异常也可以被检测。目前还没什么具体的东西。这些异常可能是完全良性的——但还是会给出一个分值。用户可以将系统设置为一有微弱的不良信号就报警,也可以设置为待这些信号累计到够分量再报警。
如果这些弱信号没有超过用户设置的报警阈值,下一个模块就会接管。但是,系统已经发现了这些‘弱信号’,会记住并为用户打出这些信号相应的危险程度分值。随时间流逝,系统会为用户建立起特定的‘正常行为模式’。如果之后检测到该用户表现出C2连接模式,发出3个弱信号,但叠加分值相当于1个强信号,那么警报就会被触发。也许是瞬间发生的,也许是长期持续的攻击,无论如何,行为分析都将检测到。
这一基本概念可以应用到任意恶意软件上,不过Niara也有一些模块是特别定制为检测与勒索软件有关的网络偏差的。比如说网络扫描、主机加密尝试或网络文件共享或者云存储服务等的指征。有些特定访问模式是可以被检测出来的,它们与其他很多类型的恶意软件相关模式都不一样。
Niara的威胁检测中包含的机器学习模块既有监管型的也有非监管型的。DNS模块就是监管型的学习模块——完全在Niara自己的实验室里‘调教’出来。让Niara在市场上独树一帜的,是他们有一系列的模块用以监测恶意软件杀伤链中的不同阶段,并且其中应用了综合监管与非监管的机器学习技术。非监管方式通常在发现异常上表现良好,而监管型模块则擅长标记恶意意图。最终目的,是在杀伤链中尽早检测出恶意软件的指征。