對(duì)于黑客大家并不陌生，他們最常用的手段無非是木馬病毒、惡意程序或鏈接等，以此讓你掉入陷阱并對(duì)你進(jìn)行敲詐勒索。

然而這種通過網(wǎng)絡(luò)進(jìn)行傳播的攻擊方式很容易被端點(diǎn)防護(hù)程序檢測(cè)到，黑客當(dāng)然不會(huì)坐以待斃。他們選擇不走尋常路，使用“非惡意軟件”進(jìn)行攻擊。大家不要驚慌不要擔(dān)憂，在下周即將到來的RSA Conference 2017 （美國信息安全大會(huì)）上，Carbon Black（美國信息安全公司）將推出新的解決方案來針對(duì)那些另辟蹊徑的攻擊。

這項(xiàng)即將面世的技術(shù)被稱為數(shù)據(jù)流防護(hù)技術(shù)（Streaming Prevention），能夠通過云端分析引擎，對(duì)用戶終端一系列活動(dòng)的前后的行為進(jìn)行分析比對(duì)，既可以偵測(cè)傳統(tǒng)的惡意程序攻擊，也可以偵測(cè)利用非惡意程序開展的攻擊。

該技術(shù)的主要實(shí)現(xiàn)方式是先為終端發(fā)生的事件打上標(biāo)記，再將其上傳到Carbon Black的云端分析平臺(tái)。數(shù)據(jù)引擎會(huì)判斷該事件是否屬攻擊行為的某一環(huán)。如確認(rèn)，則將指示終端做好相應(yīng)的防護(hù)措施。

Carbon Black為全球兩千多家企業(yè)提供端點(diǎn)威脅解決方案，擁有海量終端設(shè)備所提交、反饋的數(shù)據(jù)，Streaming Prevention中利用的云端分析引擎正是建立在這個(gè)基礎(chǔ)上。通過對(duì)終端數(shù)據(jù)建立統(tǒng)計(jì)模型，云端引擎可以甄別那些看似無害的行為是否為惡意攻擊。

作為補(bǔ)充，安全分析者還會(huì)挑出那些云端引擎沒能識(shí)別出來的攻擊行為去分析究竟，并依此對(duì)數(shù)據(jù)統(tǒng)計(jì)的算法進(jìn)行調(diào)整和改進(jìn)，確保系統(tǒng)不會(huì)再對(duì)類似的攻擊判斷失誤。

許多非惡意軟件攻擊會(huì)嘗試?yán)煤戏üぞ?，如PowerShell，Remote Desktop（遠(yuǎn)程桌面）和Flash來掩蓋惡意行為。例如，通過Remote Desktop連接其他設(shè)備是很正常的一件事，但與一些不懷好意的手法相結(jié)合，Remote Desktop可能就被黑客利用，成為暗渡陳倉的幌子。傳統(tǒng)單點(diǎn)防護(hù)技術(shù)如果習(xí)慣于把簽名或信譽(yù)已記錄在案的惡意文件當(dāng)做單一的威脅指示器，就可能被黑客繞過。

不過數(shù)據(jù)流防護(hù)技術(shù)的出現(xiàn)使得對(duì)此類惡意行為進(jìn)行定位變得可能。分析引擎不僅會(huì)對(duì)單一事件進(jìn)行標(biāo)記，還會(huì)對(duì)事件前后發(fā)生的活動(dòng)進(jìn)行分析和比較。用Carbon Black自己的話說，“Carbon Black Defense（CB Defense）的云端平臺(tái)收集匯總上千萬終端的數(shù)據(jù)，這將有效減少威脅誤報(bào)和漏報(bào)的發(fā)生。”

Streaming Prevention技術(shù)將應(yīng)用于Carbon Black端點(diǎn)威脅解決方案的下一次升級(jí)，預(yù)計(jì)將在今年4月份實(shí)施。由于針對(duì)端點(diǎn)設(shè)備的攻擊層出不窮，端點(diǎn)安全一直是RSA大會(huì)的一個(gè)重要議題。

隨著安全防護(hù)的增強(qiáng)，黑客攻擊的方式會(huì)更加隱蔽，令人難以發(fā)現(xiàn)。我們?cè)谄匠５牟僮髦?，一定要?jǐn)小慎微，不要下載來源不明的軟件，不要打開未知的鏈接、圖片等。

Miranda

收藏 海報(bào)分享