e-works数字化企业网  »  新闻  »  记者观察  »  正文

AI技术如何降低勒索病毒对企业的攻击?

2018年3月2日             作者:e-works王阳       
关键字:勒索软件  人工智能  
利好的趋势是,企业对IT安全愈加重视,随着新兴技术如人工智能、深度学习与网络安全技术的融合,可以有效预测和降低勒索病毒对企业的攻击。
      2017年,影响全球的勒索软件WannaCry大规模爆发。它利用了据称是窃取自美国国家安全局的黑客工具EternalBlue实现了全球范围内的快速传播,在短时间内造成了巨大损失。
 
      有数据统计,WannaCry造成了全球约10亿美金的损失。不同行业遭受WannaCry勒索攻击的情况也有所不同,工程建设行业是遭受攻击最多的行业,占比为20.5%,其次制造业为17.3%,能源行业为15.3%。

WannaCry

 
      根据360互联网安全中心抽样调研显示,我国在遭到勒索软件攻击的企业中,能源行业是遭受勒索软件攻击最多的行业,占比为42.1%,其次是医疗行业为22.8%。在向360互联网安全中心求助的所有勒索软件受害者中,IT/互联网行业的受害者最多,占比为27.0%;其次是制造业,占比为18.6%。
 
      利好的趋势是,企业对IT安全愈加重视,随着新兴技术如人工智能、深度学习与网络安全技术的融合,可以有效预测和降低勒索病毒对企业的攻击。
 
什么是勒索病毒?
 
      勒索病毒,是一种简单粗暴且没有技术含量的病毒,主要以邮件、程序木马、网页挂马等形式进行传播,这种病毒利用各种加密算法对文件进行加密后,向文件所有者索要赎金。如果感染者拒付赎金,就无法获得加密的私钥,无法恢复文件。
 
      这种病毒其实只是传统安全技术的一个小小的应用创新,以前加密技术一直用于防,现在却用于攻,从防到攻。
 
      举例来说,2017年最具影响力的攻击之一Locky,攻击者利用Necurs僵尸网络来进行对电子邮件网关的大规模攻击。Necurs 电子邮件的攻击活动中大多带有一个附件,如果打开附件Office Word 文档,就会被执行恶意的DDE利用代码。此代码将会执行一个PowerShell 脚本,进而下载另一个脚本,最终下载Locky勒索软件。
 
勒索病毒为何愈演愈烈?
 
      一方面,利用勒索病毒的成本非常低。在黑市上只要几千元就可以购买一个未知病毒,勒索成功一次就可以获利几万元甚至几十万元,十几倍到上百倍的利润,着实让人疯狂。
 
      另一方面,勒索病毒防护非常麻烦。因为它简单粗暴,直接对文件加密,管杀不管埋,只要加密成功,就等着收赎金,传统的安全防护措施对这种不讲道理的攻击手段束手无策。
 
      第三方面,比特币缺乏监管。现实中一个勒索案最难解决的问题是如何收赎金,而由于比特币监管缺位,恰恰解决了这个赎金问题。
 
人工智能技术可以做些什么?
 
      利用技术漏洞进行攻击是黑客常用的手段,但技术漏洞往往不容易获知。这给了人工智能、机器学习等技术发挥的空间。
 
      Sophos中国大区总经理钟明辉先生日前接受e-works记者采访时指出,根据Sophos全球调研显示,2017年全球有超过54%的企业机构曾被勒索软件攻击过,并有85%的企业机构预计未来会遭到攻击。

勒索软件

 
      钟明辉认为,当前网络安全领域的一大趋势就是“AI+安全”,利用人工智能等技术可以实现预见性安全解决方案。简而言之就是通过事实或经验进行推论,或者通过精确的计算、丰富的知识来进行预测钓鱼软件、邮件欺诈等勒索行为。
 
      在Sophos推出Intercept X方案最新版本,新增了由先进深度学习神经网络支持的恶意软件检测功能。这种可预见的安全防护方案,是通过深度学习的方式建立了一个可预测的模型,而不再需要过去传统防火墙安全解决方案的签名库。
 
      深度学习是机器学习的最新进展,它提供了一个庞大的可扩展检测模型,能够学习所有观察到的威胁形势。深度学习凭借其处理数以亿计样本的能力,以更快的速度、更少的误报率做出更准确的预测。
 
      在钟明辉看来,预测性保护是IT安全的未来。引入深度学习神经网络,是Sophos向前迈出的一大步。对未知攻击做出抵抗,而不是等待攻击的到来,这将改变每一家企业保护其用户和资产的IT运营方式。不论企业当前战略如何,预测性保护都能够给他们带来最先进的下一代保护功能。”
 
企业用户需要养成哪些习惯?
 
      当然,除了依靠新兴技术预测和防御各种网络攻击,企业用户养成良好的使用习惯更为重要,以不给不法黑客可乘之机。
 
      这包括加强网络安全防范意识:尽量关闭不必要的端口、不必要的文件共享,禁用对共享文件夹的匿名访问;采用高强度的密码,并且强制要求每个服务器使用不同密码管理;对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器;在终端/服务器部署腾讯云等具备专业安全防护能力的云服务,可有效防御病毒入侵。
 
      对于企业用户来说,在紧急情况下,应立即组织内网检测,查找所有开放445等服务端口的终端和服务器,一旦发现电脑中毒,立即断网;要求所有员工按照日常防范步骤,检查和落实漏洞修复等安全措施;严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备,同时尽快备份电脑中的重要文件和数据资料。
责任编辑:王阳
e-works
官方微信
掌上
信息化
编辑推荐
文章推荐
博客推荐
视频推荐