停滞不前：Antigena如何中和零日勒索，威胁狩猎部主任Heinemeyer，2020年1月15日，星期三FBI估计，自2016年以来，平均每天都有超过4000起勒索软件攻击事件发生。勒索软件以机器速度运行，能够在几秒钟内对数字企业造成严重破坏。不幸的是，传统的安全工具只被编程为使用规则和签名来检测已知的网络威胁，使得它们对定制和新颖的勒索软件威胁视而不见，而这些威胁在疯狂。因为Darktrace的网络防御的基本方法不是依赖规则和签名来识别新出现的威胁，而是一个独特的位置，以中和新奇的攻击。在最近的一个客户环境中，Darktrace Antigena阻止了一个以前未知的针对电子制造商的"零日"勒索软件攻击。即使部署在数字产业的一小部分，暗黑种族的安提吉纳能够回应这种从未见过的勒索软件压力之前，它可以做任何损坏。不完美可见性、完美响应同时，Darktrace提供从电子邮件和云到物联网和网络的整个数字基础设施的100%覆盖，业务挑战有时会妨碍用户全面了解其环境。然而，即使在处理不完美的数据和次优的覆盖率时，网络人工智能仍然可以识别出不断出现的威胁。在下面的攻击中，Darktrace没有覆盖攻击生命周期的初始阶段，包括最初的感染和指挥与控制的建立，但是人工智能能够在几秒钟内自主地做出反应，然后攻击升级为危机。解剖在这个例子中，Darktrace的人工智能识别了病人零明显偏离其典型的内部行为模式。零号病人的常规连接模式出现峰值，一系列高置信度警报接二连三地发出，说明了这一点。这些包括：妥协/勒索软件/可疑SMB活动-当设备开始跨组织建立不寻常的SMB连接时触发Antigena勒索软件块-当行为与勒索软件/反向DNS扫描明显相似时触发Antigena采取行动-当设备发生异常时触发反向DNS查找，这是在侦察过程中经常使用的一种策略图1：几个暗色警报开火，与生活规律的偏差是显而易见的事实上，不仅观察到设备进行了意外的大量连接，但它也在读写大量的SMB文件，并在内部将这些数据传输到一个通常不与之通信的服务器。零号病人和服务器之间的内部连接激增是恶意软件试图横向移动通过网络。图2： 10月30日观察到的四个模型漏洞和一条代表Antigena行动的虚线进一步调查显示，数百个Dropbox相关在SMB共享上访问了设备以前未访问过的文件。此外，这些文件中的一些开始加密，并附加了一个[HELP\u DECRYPT]扩展。图3： Darktrace检测到与Dropbox文件相关的SMB活动幸运的是，Antigena处于活动模式，并在一秒钟后启动，通过阻止异常连接五分钟来强制执行通常的生活模式，立即停止加密。当Darktrace的人工智能采取行动时，返利机器人怎么做，只有四个文件成功加密。图4： Darktrace Antigena在检测到勒索软件后1秒做出响应图5：更多的Antigena警报和检测到的异常活动的明确指示，然后采取第二个行动阻止勒索软件传播到其他设备。各种异常活动的结合是自主反应消除威胁的充分证据：零号病人被隔离24小时，无法连接到服务器或上的任何其他设备网络。图6： Antigena阻止被感染的设备进行横向移动和勒索活动Darktrace Antigena因此不仅停止了其轨道上的加密活动，但同时也阻止了攻击者在网络中横向移动，无论是通过扫描、使用获取的管理员凭据还是执行内部侦察。Autonomous Response启动了一项外科手术，阻止了恶意软件的传播，同时允许正常的业务运营继续。不黑名单；没有问题的关键是，这种勒索软件与任何已知的危害指标没有关联，比如黑名单上的命令和控制域或恶意软件文件散列。Darktrace能够检测到这种前所未有的攻击，淘客返利，完全基于它对组织内每个设备和用户的正常生活模式的全面理解。一旦这种偏离正常行为的行为被识别出来，安提吉纳就能够立即停止这种行为，而无需依赖规则、签名或历史数据。由于自主响应果断而迅速地采取行动，安全团队有足够的时间赶上并执行实际事件响应工作。黑暗竞赛人工智能提供了一个强有力的组合：企业免疫系统检测设备行为偏差的能力，以及阻止连接和控制连接的抗原勒索软件从整个企业蔓延开来。人工智能的自主反应通过识别这些异常的内部警报的致命配方并对勒索软件采取有针对性的行动，消除了威胁。这种偷偷摸摸的勒索软件不太可能被依赖遗产的安全团队注意到，更不用说阻止了工具安全投资回报率（ROSI）是经常讨论的网络安全支出，这起事件提供了一个很好的例子，微博淘客，企业信息化应用，说明了ROSI的表现：最近的勒索软件攻击通常需要支付价值数十万美元的赎金。如果没有黑暗种族安提吉纳在早期阶段包含威胁，很可能数千个文件将被加密。依靠网络人工智能，该公司能够在不断发展的对手面前夺回优势，节省时间、金钱、资源，大数据有什么用，或许最关键的是节省公司的时间、金钱、资源声誉。麦克斯HeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件