隨著網(wǎng)絡(luò)攻擊的爆發(fā)，從 5 月 12 日早上發(fā)現(xiàn)第一次感染到三天后微軟發(fā)布終止開關(guān)，WannaCry并沒有真正持續(xù)那么長時(shí)間。然而，在這短短的時(shí)間內(nèi)，損失達(dá)到了 50 億美元，而全球數(shù)十萬家公司受到了損害。

使用 NSA 的 EternalBlue 網(wǎng)絡(luò)間諜工具作為啟動(dòng)板，這種類型的勒索軟件利用了 Microsoft 的服務(wù)器消息塊 (SMB) 協(xié)議的漏洞。事實(shí)上，這家科技公司已經(jīng)在攻擊之前發(fā)布了補(bǔ)丁來解決安全問題。不幸的是，并非所有公司都安裝了免費(fèi)升級(jí)。

WannaCry 劫持計(jì)算機(jī)和服務(wù)器作為人質(zhì)，惡意軟件中的代碼向公司發(fā)送贖金票據(jù)，以支付比特幣以恢復(fù)系統(tǒng)，因此稱為勒索軟件。威脅不僅是刪除您的文件，而且如果您不付款，還會(huì)向公眾發(fā)布敏感數(shù)據(jù)。

在攻擊之前，沒有人想太多勒索軟件。網(wǎng)絡(luò)安全專家認(rèn)為，惡意腳本的制造者夸大了他們的產(chǎn)品可能造成的損害程度。聘請專家來恢復(fù)數(shù)據(jù)就可以了。他們可能聲稱刪除了這些文件，但實(shí)際上將其隱藏在系統(tǒng)中，并且可以使用正確的工具和專業(yè)知識(shí)輕松恢復(fù)這些文件。

2015 年，微軟報(bào)告稱，勒索軟件給企業(yè)和企業(yè)造成了 3.25 億美元的損失。顯然，網(wǎng)絡(luò)辛迪加意識(shí)到這里可以賺錢。事實(shí)上，僅僅在該報(bào)告發(fā)布兩年后，網(wǎng)絡(luò)攻擊在 2017 年就已經(jīng)給各行業(yè)造成了 50 億美元的損失。

思科警告稱，根據(jù)其 2017 年度網(wǎng)絡(luò)安全報(bào)告，勒索軟件的威脅才剛剛開始，預(yù)計(jì)每年將增長 350%。

顯而易見的是：有了 WannaCry，勒索軟件威脅的龍頭已經(jīng)打開。你現(xiàn)在擁有的是比我們過去遇到的更致命的新毒株和代碼。

物聯(lián)網(wǎng)

有了網(wǎng)絡(luò)安全，你看不到的子彈會(huì)殺死你。

盡管您可能會(huì)相信，網(wǎng)絡(luò)安全專家總是在追趕黑客。您有大量數(shù)據(jù)需要篩選和分析，而威脅變得越來越難以發(fā)現(xiàn)，因?yàn)樗鼈儽举|(zhì)上更加復(fù)雜。然后再加上作為第一道防線的網(wǎng)絡(luò)分析師的短缺。

但正如最近的網(wǎng)絡(luò)攻擊所證明的那樣，人類無法與大數(shù)據(jù)相匹敵。試圖理解所有數(shù)據(jù)就像試圖用杯子擋住海嘯。

此外，由于缺乏分析師和缺乏對 IT 的投資，公司購買現(xiàn)成的安全平臺(tái)的趨勢也在增長。物聯(lián)網(wǎng)及其無所不包的應(yīng)用程序只會(huì)使情況更加混亂。

SANS 研究所所長 John Pescatore在接受信息安全媒體集團(tuán)采訪時(shí)表示，雖然越來越多的公司加強(qiáng)了防御以應(yīng)對物聯(lián)網(wǎng)，但“有很多公司如此專注于確保 Windows PC 和 Linux 服務(wù)器安全的日常安全工作，他們根本沒有開始。”

進(jìn)入人工智能

顯然，公司在受到所有這些新的網(wǎng)絡(luò)威脅的沖擊時(shí)不能保持守勢。優(yōu)化保護(hù)的唯一方法是繼續(xù)進(jìn)攻。

這本質(zhì)上就是威脅情報(bào)平臺(tái)。

例如，來自 Stealthcare 的零日實(shí)時(shí)威脅情報(bào)平臺(tái)已成功預(yù)測 WannaCry 勒索軟件，以及 Dyn 網(wǎng)絡(luò)攻擊和亞特蘭大薩馬斯勒索軟件等其他網(wǎng)絡(luò)攻擊。您可能還記得 2016 年 10 月針對 Dyn 的一系列 DDoS 攻擊，導(dǎo)致歐洲和北美的幾家公司關(guān)閉。顯然，該病毒搭載在物聯(lián)網(wǎng)設(shè)備上，這解釋了快速而廣泛的污染。

就在去年三月，亞特蘭大市擁有的計(jì)算機(jī)感染了勒索軟件?？紤]到訪問政府機(jī)器的人也可能容易受到攻擊，安全漏洞非常令人擔(dān)憂。據(jù)報(bào)道，黑客向每個(gè)人質(zhì)單位索要6,800 美元。

這就是公司所處的環(huán)境。

然而，隨著人工智能的進(jìn)步，公司正在提供一個(gè)戰(zhàn)斗的機(jī)會(huì)。

什么是提示？

像 Zero Day Live 這樣的 TIP 對大量數(shù)據(jù)進(jìn)行分類和篩選，并在所有噪音中分析所有這些信息，以提供適當(dāng)?shù)淖鲬?zhàn)計(jì)劃。人工智能平臺(tái)不僅加強(qiáng)防御，還積極尋找對組織的積極威脅，并確保它們被清除。

分析師即使以超人的努力從隨機(jī)事件中查看聯(lián)系，也無法模仿自動(dòng)化威脅情報(bào)平臺(tái)的功能。

它類似于間諜機(jī)構(gòu)正在使用的東西。輸入關(guān)鍵字，當(dāng)它們出現(xiàn)在系統(tǒng)中時(shí)，尤其是當(dāng)攻擊迫在眉睫時(shí)，就會(huì)激活 TIP 并提醒 IT 部門采取應(yīng)對措施。

大多數(shù)黑客都有他們的簽名 DNA。可以說，除了金錢之外，黑客還受到自尊心的驅(qū)使來擊敗系統(tǒng)。網(wǎng)絡(luò)取證通常會(huì)顯示此簽名。自動(dòng)化該過程將大大減少嗅探這些威脅的時(shí)間。DNA 被硬編碼到他們的系統(tǒng)中，這使得黑客幾乎不可能在中途更改他們的簽名。這一直是他們的弱點(diǎn)。

一個(gè)很好的類比是警察和罪犯。除非調(diào)查人員開發(fā)出一種預(yù)測模型來在犯罪發(fā)生之前對其進(jìn)行預(yù)測，否則他們將永遠(yuǎn)落后。FBI 的行為分析部門的成立正是為了尋找連環(huán)犯罪者的模式，希望通過他們的簽名來識(shí)別他們，并最終將他們鎖定。

回到零日直播，該平臺(tái)可以完全集成到 IT 或商業(yè)企業(yè)中，幾乎不會(huì)終止運(yùn)營。通過梳理大數(shù)據(jù)，該工具能夠評估漏洞并進(jìn)行廣泛的威脅分析。AI 功能不會(huì)浪費(fèi)資源對任何小威脅做出過度反應(yīng)，而是能夠針對僅對您的組織重要的網(wǎng)絡(luò)威脅。

TIP 本身可以通過訂閱或零碎的解決方案作為軟件即服務(wù)或 SaaS 安裝，以應(yīng)對威脅。因此，公司可以專注于其核心業(yè)務(wù)運(yùn)營，而不是花費(fèi)大量時(shí)間和金錢來支持其 IT 部門。

主要目的是識(shí)別威脅行為者存在的原因。在勒索軟件的情況下，金錢是主要的激勵(lì)因素。事實(shí)上，超過十分之四的網(wǎng)絡(luò)攻擊是由金錢推動(dòng)的。但黑客的動(dòng)機(jī)還有其他梯度。例如，政治也可能像 2016 年美國大選那樣涉及。其他原因可能是內(nèi)部工作、試圖扼殺競爭、網(wǎng)絡(luò)戰(zhàn)和憤怒的客戶。

但是，您如何將無法衡量的東西（例如動(dòng)機(jī)）歸因于中立和公正的數(shù)據(jù)？這就是 TIP 可以為公司做的事情。幸運(yùn)的是，越來越多的公司認(rèn)識(shí)到人工智能工具的重要性，以應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊。

一旦了解了威脅的動(dòng)機(jī)，就更容易在數(shù)字戰(zhàn)場上制定制勝戰(zhàn)略。