這家公司將UEBA引入勒索軟體檢測

本文講的是這家公司將ueba引入勒索軟體檢測，niara是一家矽谷安全公司，從隱秘模式走到大眾眼前也只不過1年的時間。本週，該初創公司發布了一款新型使用者與實體行為分析(ueba)工具，可以檢測現有和未知的勒索軟體。

基於可能性方法檢測勒索軟體的不僅僅有niara一家，但niara用以檢測勒索軟體殺傷鏈不同階段異常情況的特定監管和非監管模組的數量，讓它在其競爭者中顯得鶴立雞群。

niara本可以將自己描述為下一代反惡意軟體公司，但它無意這麼做。niara並不想替代現有的安全防禦，而是去增強它們。直到最近，大部分威脅要麼已知，要麼很容易就能被鑑別出來，可被現有工具捕獲。這些威脅又沒有逃走，為什麼要費勁把能起作用的工具替換掉呢？

行為分析的長處，在於「灰色地帶」。比如說釣鯨郵件。這類針對企業的詐騙電子郵件或許根本不含有不良元素，現有防禦無處著力。就拿niara做例子。惡意行為人可以建立乙個名為「n1ara.com」的站點(注意，第二個字元是數字1而不是字母i)，由此偽造一封郵件裝作是niara的首席執行官，指示首席財務官向指定賬戶匯款。這樣的郵件裡可能根本沒包含任何惡意鏈結，但卻很容易讓人誤以為真的是從niara.com發出的。

事實上，這種惡意行為裡，真沒什麼可供傳統防禦措施報警的。但是，機器學習語言學分析模組就能檢查網域名稱，看出這是乙個與niara.com相似但並不是niara.com的網域名稱，據此向使用者或管理員報警，提醒他們去檢查是否有可能是一起安全事件。

niara的新產品由多個模組組成，能檢查感染事件的不同階段。可能乙個模組在檢查郵件頭有無異常，另乙個模組就掃瞄附件——不是查詢已知甚或未知惡意軟體，而是檢查文件的結構。其他異常也可以被檢測。目前還沒什麼具體的東西。這些異常可能是完全良性的——但還是會給出乙個分值。使用者可以將系統設定為一有微弱的不良訊號就報警，也可以設定為待這些訊號累計到夠分量再報警。

如果這些弱訊號沒有超過使用者設定的報警閾值，下乙個模組就會接管。但是，系統已經發現了這些『弱訊號』，會記住並為使用者打出這些訊號相應的危險程度分值。隨時間流逝，系統會為使用者建立起特定的『正常行為模式』。如果之後檢測到該使用者表現出c2連線模式，發出3個弱訊號，但疊加分值相當於1個強訊號，那麼警報就會被觸發。也許是瞬間發生的，也許是長期持續的攻擊，無論如何，行為分析都將檢測到。

這一基本概念可以應用到任意惡意軟體上，不過niara也有一些模組是特別定製為檢測與勒索軟體有關的網路偏差的。比如說網路掃瞄、主機加密嘗試或網路檔案共享或者雲儲存服務等的指徵。有些特定訪問模式是可以被檢測出來的，它們與其他很多態別的惡意軟體相關模式都不一樣。

niara的威脅檢測中包含的機器學習模組既有監管型的也有非監管型的。dns模組就是監管型的學習模組——完全在niara自己的實驗室裡『調教』出來。讓niara在市場上獨樹一幟的，是他們有一系列的模組用以監測惡意軟體殺傷鏈中的不同階段，並且其中應用了綜合監管與非監管的機器學習技術。非監管方式通常在發現異常上表現良好，而監管型模組則擅長標記惡意意圖。最終目的，是在殺傷鏈中盡早檢測出惡意軟體的指徵。

這家公司將UEBA引入勒索軟體檢測

這家公司專注Hadoop系統的資料安全

這家公司開發的app，讓你自己創作AR內容

騰訊這家公司的核心競爭力是什麼？為什麼？

這家公司將UEBA引入勒索軟體檢測

這家公司專注Hadoop系統的資料安全

這家公司開發的app，讓你自己創作AR內容

騰訊這家公司的核心競爭力是什麼？為什麼？

相關推薦