加拿大在线威胁保护公司BD-BrandrProtect正在与越来越多的努力作斗争危险的恶意软件电子贺卡,以自动化的帮助,像蜘蛛和蜜罐一样的组合解决邪恶的电子贺卡,以及良好的老式人类分析。
基于INT的Mississauga,公司自2001年以来一直将与罗伯托·德拉斯韦省总统呼吁“越来越复杂的攻击性和持续演变”的速度保持同步。“五年前,体积较低,比较较低,非常专门专注于金融服务业,而且往往只是简单的网络钓鱼攻击,”德拉索沃说。“现在他们定位在金融服务业之外,往往有一个首先分配恶意软件的两相攻击,然后在次要目标上使用它。”
危险恶意软件正在传播的方式之一是通过毫无戒心的收件人打开的假电子贺卡,将机器人释放到他们的机器上。这将他们的电脑转变为命令点,以发送损坏大量损坏的有害机器人的决策点。如果在企业设置中打开,他们可以证明灾难性,安装键盘,扫描个人或有价值信息的目录,以及修改网页,以便给予“镜像”网站的敏感信息进入错误的手。
根据Drassinower的说法,这些电子贺卡特别有效,因为它们通常是发送给不习惯这些电子贺卡所采用的社会工程策略的用户(他们通常使用流行的电子贺卡品牌名,或称呼收件人为老校友,或以名字称呼)。
该公司拥有一个24小时的威胁跟踪中心,其数据库托管BD-BrandProtect的SQL Server数据库。据Drassinower说,就每天处理的信息量而言,这个数据库是世界上第二繁忙的数据库,仅次于纳斯达克。他表示,该公司追踪了85%的互联网流量。
为此目的,BD-BrandrProtect使用Web蜘蛛来刷新Internet的支持客户端,将广泛的链接映射用于公司提到或数据。休Hyndman,CTO与公司表示,“寻找数据,网络蜘蛛一个月扫描数十亿的网页,以便提到产品或品牌。您可以做类似的事情,如寻找图像(属于公司),以及然后给他们一个水印,以便再次使用它们,它充当旗帜。“如果网站通过提供销售一个产品并用另一个产品将其替换(或者什么,或者没有),这种做法可能是特别有帮助的。
通过了解哪个页面彼此链接,Hyndman表示,“如果我们找到了可疑的东西,我们就知道是什么链接到它。”
Hyndman还聘请了蜜罐,它会收集可疑的电子邮件地址,并将垃圾邮件电子邮件重新路由回自身。这种方法越来越受欢迎。
谷歌高级工程师尼尔斯·普罗沃斯最近与人合写了一本名为《虚拟蜜罐:从僵尸网络跟踪到入侵检测》的书。“从本质上说,它是一种资源,让你发现你可能不知道或没有意识到的事情。基本的想法是,你运行的某种计算机系统在你的生产网络中没有任何用处。它不提供任何网页,也不向普通访问者提供任何服务。然后你监视发生了什么。基本的想法是,对手可能试图扫描网络或可能试图攻击你提供给网络的资源,任何发生在你的蜜罐上的连接本身都是可疑的,因为你不会期望任何定期访客连接到系统,”普罗沃斯说。
“通过仔细地改进它,您基本上可以看到任何潜在攻击的东西......这可能最终会损害它与安全漏洞没有人可能已经意识到的。由于让蜜罐妥协,您可能真的知道缺陷你之前不知道的话,“他说。“然后另一个好处是你可能会看到他们如何进一步妥协系统,他们安装的后门是什么样的背门或他们使用的根套件或其他技术。因此,蜜罐的基本好处是您可以观察到什么潜力对手可能会这样做。“
那么BD-BrandProtect的“蜜罐效应”的结果呢?海因德曼说:“我们已经收集了数千封电子邮件。”
一旦组装了安全配置文件,客户端的分配的互联网威胁专家就会提供优先级的问题和问题列表。“他们想知道的主要事情是他们如何与其他人进行关系,并突出主要的安全威胁,”德拉索沃说。该公司还将尝试识别已安装机器人的每台计算机。
然后,客户和专家一起决定留下什么(例如,在论坛上对公司友好的评论)和什么目标(使用恶意软件的欺诈者)。这正是BD-BrandProtect庞大的ISP合作伙伴网络发挥作用的地方;他们的数量超过2000个,遍布世界各地,在帮助该公司打击垃圾邮件发送者和实施恶意软件的犯罪分子方面发挥了重要作用。安全专家对数据进行取证分析,以确定指挥和控制中心的位置。
尽管BD-BrantialProtect的动手方法,IT专业人员也在努力防止这种侵入再次发生 - 或根本没有。德拉索斯称,“他们负责对事件做出反应,而且还要在组织政策制定和报告方面进行积极主动,以便这些决定可以考虑到预算。”而且,德拉斯韦尔说,IT专业人员也可以通过向工人提供关于危险的工人的信息,即使是最友好的电子贺卡。
(Dave Webb贡献了这个故事)。
这个故事“加拿大公司提供电子卡恶意软件回复”最初发布《计算机世界》 。