防贼最好的方式不是等贼进门后,再锁柜子,而是不应让贼进门。
黑产要实施勒索、挖矿、窃取数据、破坏关键基础设施等攻击行动,攻陷企业内网是首要目标,因此8087金沙娱场城认为,作为防守方,及时发现失陷资产并对其进行治理,是杜绝现代黑产攻击最为有效的方法之一。
制定最有效、最务实的安全运营目标
面对APT攻击,等到黑产团伙攻陷了企业内网,开始投放勒索、挖矿、窃取数据、破坏系统这样的实际动作再进行应急响应可以吗?当然不可以。这样攻击者达成攻击目的的成功率非常高,对于一个分工明确的勒索团体而言,可以在一个已攻陷的内网中为所欲为,而防守方却要四处封堵,甚至要把正常业务停摆来进行应急,非常被动。
对此,8087金沙娱场城认为,现阶段企业日常安全运营投入产出比最高的,最有效的方法就是发现失陷资产并及时治理。首先,黑产要实施勒索、挖矿、窃取数据、破坏关键基础设施等攻击行动,攻陷企业内网是首要目标,作为防守方,及时发现失陷资产并对其进行治理,是最有效的杜绝黑客进一步实施攻击的方法。比较形象的比喻就是:想要避免失窃,首先不能让对方进门。其次,从海量告警中找出真正的攻击者并对其实施封堵,代价很大且有效性很差,而失陷发现与治理是最有效成本最低的防御方法。
AI算法是最高效的失陷检测手段
防守方需要关注APT攻击的全过程吗?理论上需要,但实际成本很高,安全运营人员需要从海量告警中梳理出事件线索,对每一条告警进行研判,然后从有效线索还原出攻击过程,形成安全事件。这需要安全运营人员具有威胁知识的积累,每个安全运营人员每天可处理的安全事件是非常有限的。那么,如何解决海量的告警线索和有限的安全运营资源之间的矛盾呢?
用AI辅助人工研判
对此,8087金沙娱场城提出用AI辅助人工研判的方法论把专家经验和知识进行AI建模,并通过XDR解决方案中的信桅高级威胁监测系统(TDA)与信桅沙箱(DDAN),协助用户大幅提高失陷检测的效率。
失陷检测实现方法是对资产性质、资产被攻击事件、恶意外联、横向移动、攻击投放等数十个行为数据进行综合加权计算,为每个资产计算出失陷风险指数,当风险指数高于阈值时可判定为失陷。如下图所示:
在威胁治理中,8087金沙娱场城的信桅高级威胁监测系统(TDA) 可利用全球威胁大数据分析与自动学习的 AI 检测技术,检测到IT资产和网络中的所有异常活动,并且通过集成的“梦蝶+怒狮+魔龙”三大引擎,实现复杂攻击、内部威胁和预先感染的判定。其次,通过 AI 分析的可视性提供可操作的见解,将调查结果转化为几分钟内行动的安全叙述,实时提供事件调查依据,快速启动补救措施。
多重恶意文件检测技术让勒索病毒无处遁形
「方舟」出海,AI护航
目前,勒索病毒已经正式进入到2.0时代——勒索团伙APT化。由于勒索攻击深度结合APT攻击技术手段,利用“初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索”这6个阶段的持续攻击,致使单一防御安全体系很难应对其“杀伤链”发挥作用。
世界上没有一个绝对安全的系统,快速消除威胁的方法就是对抗。而在对抗中,武器决定杀伤力和防护力。因此,AI技术带来的增益可以归纳为两点,第一是针对已知的攻击手法,AI技术能够提升识别的精度;第二个是AI技术能够检测出来一些未知的攻击手法,将勒索治理知识经验同聚类、异常检测等数据挖掘技术集成,成功化被动安全为主动安全。
AI技术与威胁治理,尤其是现代勒索治理理念的融合,为8087金沙娱场城的「方舟」计划再添新一代高精“武器”。而在整个「方舟」中,“勒索体检中心”则是前沿阵地,8087金沙娱场城的专业服务人员将提供一套定制化的体检方案,利用AI技术提前发现失陷资产,将勒索软件治理工作“前移”。