常見的黑客攻擊往往以病毒程序或惡意文件為載體，通過網(wǎng)絡(luò)進(jìn)行傳播——這種攻擊方式較容易被端點(diǎn)防護(hù)程序所檢測(cè)到。但是如果黑客不走尋常路呢?在RSA Conference 2017 (美國(guó)信息安全大會(huì))上，Carbon Black(美國(guó)信息安全公司，也就是原來的Bit9)將推出新的解決方案來針對(duì)那些另辟蹊徑的攻擊。

即將揭曉的技術(shù)被稱作數(shù)據(jù)流防護(hù)技術(shù)(Streaming Prevention)，能夠通過云端分析引擎，對(duì)用戶終端一系列活動(dòng)的前后的行為進(jìn)行分析比對(duì)，既可以偵測(cè)傳統(tǒng)的惡意程序攻擊，也可以偵測(cè)利用非惡意程序開展的攻擊。

該技術(shù)的主要實(shí)現(xiàn)方式是先為終端發(fā)生的事件打上標(biāo)記，再將其上傳到Carbon Black的云端分析平臺(tái)。數(shù)據(jù)引擎會(huì)判斷該事件是否屬攻擊行為的某一環(huán)。如確認(rèn)，則將指示終端做好相應(yīng)的防護(hù)措施。

Carbon Black為全球兩千多家企業(yè)提供端點(diǎn)威脅解決方案，擁有海量終端設(shè)備所提交、反饋的數(shù)據(jù)，Streaming Prevention中利用的云端分析引擎正是建立在這個(gè)基礎(chǔ)上。通過對(duì)終端數(shù)據(jù)建立統(tǒng)計(jì)模型，云端引擎可以甄別那些看似無害的行為是否為惡意攻擊。

作為補(bǔ)充，安全分析者還會(huì)挑出那些云端引擎沒能識(shí)別出來的攻擊行為去分析究竟，并依此對(duì)數(shù)據(jù)統(tǒng)計(jì)的算法進(jìn)行調(diào)整和改進(jìn)，確保系統(tǒng)不會(huì)再對(duì)類似的攻擊判斷失誤。

許多非惡意軟件攻擊會(huì)嘗試?yán)煤戏üぞ?，如PowerShell，Remote Desktop(遠(yuǎn)程桌面)和Flash來掩蓋惡意行為。例如，通過Remote Desktop連接其他設(shè)備是很正常的一件事，但與一些不懷好意的手法相結(jié)合，Remote Desktop可能就被黑客利用，成為暗渡陳倉(cāng)的幌子。傳統(tǒng)單點(diǎn)防護(hù)技術(shù)如果習(xí)慣于把簽名或信譽(yù)已記錄在案的惡意文件當(dāng)做單一的威脅指示器，就可能被黑客繞過。

不過Streaming Prevention的出現(xiàn)使得對(duì)此類惡意行為進(jìn)行定位變得可能。分析引擎不僅會(huì)對(duì)單一事件進(jìn)行標(biāo)記，還會(huì)對(duì)事件前后發(fā)生的活動(dòng)進(jìn)行分析，比較。用Carbon Black自己的話說，“Carbon Black Defense(CB Defense)的云端平臺(tái)收集匯總上千萬終端的數(shù)據(jù)，這將有效減少威脅誤報(bào)和漏報(bào)的發(fā)生。”

Streaming Prevention技術(shù)將應(yīng)用于Carbon Black端點(diǎn)威脅解決方案的下一次升級(jí)，預(yù)計(jì)將在4月份實(shí)施。由于針對(duì)端點(diǎn)設(shè)備的攻擊層出不窮，端點(diǎn)安全一直是RSA大會(huì)的一個(gè)重要議題。