攻擊者使用「非惡意軟體」也能識別，來看看這個即將在RSA 2017上發布的新技術

常見的黑客攻擊往往以病毒程序或惡意文件為載體，通過網路進行傳播——這種攻擊方式較容易被端點防護程序所檢測到。但是如果黑客不走尋常路呢？在下周即將到來的RSA Conference 2017 （美國信息安全大會）上，Carbon Black（美國信息安全公司，也就是原來的Bit9）將推出新的解決方案來針對那些另闢蹊徑的攻擊。

即將揭曉的技術被稱作

數據流防護技術（Streaming Prevention）

既可以偵測傳統的惡意程序攻擊，也可以偵測利用非惡意程序開展的攻擊。

該技術的主要實現方式是先為終端發生的事件打上標記，再將其上傳到Carbon Black的雲端分析平台。數據引擎會判斷該事件是否屬攻擊行為的某一環。如確認，則將指示終端做好相應的防護措施。

Carbon Black為全球兩千多家企業提供端點威脅解決方案，擁有海量終端設備所提交、反饋的數據，Streaming Prevention中利用的雲端分析引擎正是建立在這個基礎上。通過對終端數據建立統計模型，雲端引擎可以甄別那些看似無害的行為是否為惡意攻擊。

作為補充，安全分析者還會挑出那些雲端引擎沒能識別出來的攻擊行為去分析究竟，並依此對數據統計的演算法進行調整和改進，確保系統不會再對類似的攻擊判斷失誤。

許多非惡意軟體攻擊會嘗試利用合法工具，如PowerShell，Remote Desktop（遠程桌面）和Flash來掩蓋惡意行為。例如，通過Remote Desktop連接其他設備是很正常的一件事，但與一些不懷好意的手法相結合，Remote Desktop可能就被黑客利用，成為暗渡陳倉的幌子。傳統單點防護技術如果習慣於把簽名或信譽已記錄在案的惡意文件當做單一的威脅指示器，就可能被黑客繞過。

不過Streaming Prevention的出現使得對此類惡意行為進行定位變得可能。分析引擎不僅會對單一事件進行標記，還會對事件前後發生的活動進行分析，比較。用Carbon Black自己的話說，「Carbon Black Defense（CB Defense）的雲端平台收集匯總上千萬終端的數據，這將有效減少威脅誤報和漏報的發生。」

Streaming Prevention技術將應用於Carbon Black端點威脅解決方案的下一次升級，預計將在4月份實施。由於針對端點設備的攻擊層出不窮，端點安全一直是RSA大會的一個重要議題。

*參考來源：networkworld，FB小編cxt編譯，轉載請註明來自FreeBuf.COM