勒索软件发展趋势愈演愈烈!网络行为分析派上用场

据外媒报道，最近发生的美国巴尔的摩和铝制造商Norsk Hydro的网络攻击事件表明，勒索软件仍对组织构成重大威胁。

自2017年WannaCry以来，勒索软件随着SimpleLocker、NotPetya、SamSam和LockerGoga等更新版本的出现而迅速发展。然而，勒索软件的核心仍然是相同的。它们通过钓鱼邮件或类似的策略进入端点系统，安装恶意软件，获取加密代码，并加密整个网络系统上的数据，然后要求受害者支付赎金来解密数据。

组织受勒索软件攻击后的代价高昂——对巴尔的摩攻击造成的损失至少为1800万美元。2017年至2018年间，勒索软件攻击的数量有所下降，但针对企业的攻击却呈上升趋势，这表明黑客会为了财富继续推动勒索软件攻击。

黑客清楚，并不是每个组织都及时修补漏洞，所以即使是旧的勒索软件也可能有效。因为规模较小的网络犯罪组织没有时间或金钱来投资开发新的威胁，所以这些旧的勒索软件通常被规模较小的网络犯罪组织使用。但是现在大多数的恶意软件要么由国家运行，要么由专业的犯罪组织运行，这些组织的目标是那些严重依赖他们所拥有的数据并有能力将其取回的公司。

公司必须始终防范勒索软件，但挑战在于，它发展很快，使得签名和模式匹配等传统技术越来越难以成功检测。现在看到的更多的是试图逃避防御技术的多态恶意软件，而不是签名可以识别的恶意软件。

勒索软件可以通过网络上的行为分析功能被检测，在它从受感染的系统传播到网络的其他部分之前将其关闭。勒索软件已经进化，它的防御也必须随之进化。

从分析的角度来看，我们正在寻找不寻常的行为。黑客现在很擅长隐藏他们的恶意软件。一旦进入网络，它们看起来就像一个拥有证书的合法用户。恶意软件不会轻易暴露自己，所以行为分析是反击的关键方法。

当数据被加密时，分析变得很重要。web浏览器等应用程序正在转向TLS加密。然而，恶意软件也在做同样的事情。行为分析和观察加密网络流量等可检测恶意软件的存在，并限制其可能造成的损害。

当恶意软件攻击时，端点第一个开始查找攻击。端点具有基本的反病毒功能，但恶意软件可能看到反病毒保护，并采取措施逃避或禁用它。

网络在处理勒索软件方面如此成功的一个原因是黑客无法关闭网络，管理员可以在网络上观察不同类型的行为，而恶意软件无法阻止他们这样做。

机器学习可以在检测网络的异常行为方面发挥作用。在机器学习场景中，输入的数据越多越好，系统会同时查看网络数据包和来自不同系统的日志，从而更全面地了解正在发生的事情。系统所看到的99%可能是噪音，但机器学习擅长从大量数据中挑选出微弱的信号。

随着勒索软件的快速发展，不太可能发现所有的恶意软件，因此网络行为分析派上了用场。该技术可以检测恶意软件并识别受感染的系统，使管理员能够阻止勒索软件通过网络传播到其他设备和系统。