勒索詐騙攻擊防不勝防 用機器學習增益端點安全

去年(2016)台灣歷經勒索軟體「遍地開花」,不論是否支付贖金,最終已被惡意加密的珍貴檔案或重要文件也未必得以復原。其實台灣並非特例,就趨勢科技統計數據來看,去年的勒索軟體家族數量激增,對比2015年成長400%之多,全球總攻擊次數超過1.8億,台灣受害數量排名為全球第16。

由統計數據不難發現,勒索軟體已成為犯罪集團有效的獲利模式,才驅使病毒家族大幅成長,迴避現有防毒軟體等機制的偵測。趨勢科技資深技術顧問簡勝財認為,勒索軟體威脅將延續到今年,預期家族數量將再成長25%,屆時恐會針對更多不同平台設計感染程式,例如POS、IoT裝置、工業控制等系統,恐成為新鎖定標的。

除了勒索軟體造成中小企業損失,變臉詐騙亦是不可小覷的威脅,主要是透過社交工程郵件發送,內嵌釣魚網站騙取使用者帳密,或夾帶惡意程式側錄帳密,一旦取得業主的權限,即可逕行登入發送詐騙郵件,要求財務人員匯款到攻擊者的帳戶。簡勝財指出,對比損失金額,勒索軟體平均為90萬元,而變臉詐騙則是平均單筆為400萬元,非法獲利可說相當豐厚。

攻擊程式與犯罪手法不斷地翻新以獲利為主要目的,首當其衝的端點安全防護將面臨更大挑戰,對此,趨勢科技於日前發布新版XGen,即強調提供跨世代安全防護,抵抗未來日益嚴重的勒索病毒,以及更多已知與未知型攻擊。

端點防護納入XGen抵抗勒索威脅

資安市場上對於新一代技術習慣以NG(Next Generation)描述,趨勢科技台灣暨香港區總經理洪偉淦指出,新發布的XGen定位更廣泛,不僅只強調新技術,同時也融合現有防禦系統的優勢,例如長期以來累積來自全球的威脅智慧(Threat Intelligence),讓整體安全防禦機制更臻完整與成熟。

「趨勢科技成立至今已二十多年,一直以來持續努力的目標,在於與時俱進地提供客戶新技術抵抗新威脅。尤其是近兩年,資安威脅帶給企業的危害已不僅是營運中斷,更是財務損失、機敏資料遭竊,面對持續不斷推陳出新的威脅型態,防護端勢必要積極地跟上攻擊者發展的腳步。」洪偉淦說。

從前述提及的資安威脅中不難發現,2016年可說是勒索病毒之年,延續到今年仍將繼續肆虐,雖數量成長已趨緩,但攻擊入侵範圍將更廣泛,因此端點安全防護方案勢必要有能力抵禦,XGen即是以OfficeScan為基礎,融合機器學習(Machine Learning)等人工智慧技術,協助企業用戶解決事後復原、完善防禦機制以及釐清威脅行為等問題。

用靜態與動態演算法建立高精準度

自從AlphaGo擊敗圍棋職業棋士之後,機器學習與人工智慧即成為全球關注的技術。實際上,洪偉淦指出,資安領域十多年前就已採用機器學習來處理龐大資料量,趨勢科技亦廣泛運用在2005年提出的垃圾郵件偵測、2010年URL評等與分類機制、2015年以演算法偵測社群媒體中專門用來發送惡意廣告的帳號,日前推出的XGen,則是納入OfficeScan端點防護方案中,輔助偵測未知型威脅。

▲XGen防護機制納入已有十多年應用經驗的機器學習演算法,輔助辨別惡意檔案。

「就勒索軟體而言,不僅變種速度相當快,且應用的手法又趨近於正常行為,極類似於正常加密操作,因此需要運用快速學習機制來增強偵測率,可說是我們把機器學習應用在檔案基礎威脅偵測的主因。」

但機器學習會牽涉到的問題,首先是誤判。畢竟機器學習運作模式是不斷地從日常資料中建立善意與惡意的判斷準則,並非解析檔案內容,一旦學習的來源資料偏差,即可能發生誤判;其次,若檔案皆仰賴機器學習實作辨別,勢必需要佔用運算效能。

針對機器學習潛在的誤判問題,XGen主要採用靜態與動態雙引擎來實作,以提高精準度。洪偉淦進一步說明,XGen運用機器學習演算實作兩個部分,其一是執行前(Pre-execution)的判讀,針對靜態檔案查看特徵值,讓機器執行學習,藉由累積大量資料的知識,透過演算判讀檔案的善意與惡意;但惡意行為模式可能在實際運行時才會發生,因此設計搭配執行時期(Runtime)的判讀,以趨勢科技累積超過十年的雲端資料庫(SPN)為基礎,輔助消除雜訊(Noise)的同時,亦藉此判別惡意程式執行時期的動態特徵值,來提升偵測率。

成熟穩定運行環境發揮防護機制效益

端點安全防護除了追求高精準度、低誤判率,穩定性也是企業用戶所關注。其實發展端點防護方案,複雜程度相當高,畢竟軟體是部署在使用者操作環境,而企業應用環境即使同產業也未必相似,各有慣用的應用程式,或自行開發的軟體,不夠成熟的端點防護軟體通常會有誤判、不相容等例外的狀況,造成IT維運困擾,因此成熟穩定的解決方案實為不可或缺的要素。「而趨勢科技專注於端點安全發展已超過二十年,已累積厚實的經驗與知識,正可說是核心優勢之一。」洪偉淦強調。

新發展的XGen機器學習技術,正確度的基石主要來自全球威脅情資及研究。趨勢科技雲端資料庫,十多年來持續累積,目前全球威脅情資,每天分析超過100TB資料、平均每天有超過500k新型態威脅增長、存放超過8億正常檔案的資料庫、佈建超過1億個感知器。此外,全球有超過450個研究人員,自2015年收併TippingPoint之後,也把威脅漏洞研究社群ZDI一併納入,擁有超過3,000名漏洞發掘者,提供最新資訊,讓機器得以基於龐大、準確的資料庫不斷地學習,以達到更好的效率。

就運作程序來看,XGen啟用後首先會快速過濾已知、未知型檔案,採用網頁與檔案信譽評等、漏洞攻擊防護、應用程式控管等機制,先行分類善意與惡意;之後採用Pre-execution演算技術篩選靜態檔案,同時執行雜訊消除;第三層是行為分析,為OfficeScan既有的技術;最後一層是執行時期的判讀。在不同運作機制下,一旦發現惡意檔案隨即執行攔阻,最後結果再回饋到雲端資料庫,後續便不需要再運行相同流程,即可藉此提升效能。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!