今年二月标志着五周年纪念日,密歇根州利文斯顿县被赎金软件击中。该州最富有的县有三年的税收信息,可能是在网络犯罪分子的怜悯中。
作为当地政府,CIO Rich C. Malewicz表示,他们一直是赎金软件的目标,但在这种情况下,他们就准备好了备份。他说,最令人难忘的赎金软件攻击是使用恶意的浇水洞活动来感染访问当地新闻网站的用户。
“这种攻击是非常聪明的,所有你必须做的就是感染了访问该网站,你甚至没有点击页面上。一旦用户去了当地的新闻网站,他们立即重定向到一个网站托管攻击代码和臭名昭著的页面出现了要求与指令的赎金,”他说。
攻击者在将用户重定向到利用登录页面中的iframe中嵌入恶意代码。在包含之前的ransomware将扩展到多个PC和服务器。
“我们有幸拥有的数据的备份工作,我们不久后恢复。如果我们没有一个备份工作,这可能是一场灾难,” Malewicz说。
除了难民丧失县内188,000名公民的个人身份信息之外,政府将研究劳动力成本,以将文件复制在其声誉的损害之上。该县的网络也与公共安全实体以及教育机构分享。
“It's pretty clear that local government is a primary target of ransomware attacks, mainly because they have lagged so far behind the private sector in terms of cyber protection, many don’t have working backup solutions - if any at all, and they tend to pay the ransom,” he said.
最近的头条新闻表明公共安全机构和地方政府将支付赎金,因此他们的目标是更多的 - 攻击者将迁移到倾向于支付赎金的行业以及网络安全姿势不足的行业。案例指出Tewksbury,质量。,警方支付了赎金在他们无法打破加密之后四五天,需要攻击者将私钥发送私钥以访问数据。
“保护从勒索或任何类型的恶意软件的组织类似于军备竞赛,随着威胁的演进所以必须你的防御!”Malewicz说。
该县转向预测分析,希望停止赎金软件攻击。Livingston County使用Unitrends备份解决方案来提供Malewicz的团队安心,在我们的网络防御失败的情况下。
“勒索软件在很大程度上是闻所未闻年前,但今天它是一个家喻户晓的名字 - 每个人都知道某个人或某个组织,已被感染。未来的保证,更具威胁勒索软件的变体将采取中心舞台肆虐在我们的家庭和商业场所。当勒索利用旁路外围网络防御你只有依靠你的预测分析网络防御,以保护你,否则,我希望你有稳定和安全备份依傍!”他说。
它被认为与预测分析,其带来的技术更进了救星类别,然后将主食。它提升了技术的检测数据的变化,这点勒索的爆发能力,然后允许IT管理员指返回到上一个合法的备份点。
预测分析是必要的,因为明天的恶意软件是未知的,肯定会进化到我们的损害。当传统的网络防御技术被渲染无效或人为错误是在作怪,预测分析网络防御技术成为防御的一个组织的最后一行。在一个组织中的大多数网络防御的是围绕着“已知”的恶意软件基于签名的模型建立,而预测分析是围绕“未知”的建成,在组织内建立生活的模式,并保护他们免受恶意软件和其他异常活动为好。
Unitrends首席执行官Paul Brady表示,通过将预测分析注入UnitSrends的备份和业务连续性解决方案,使客户能够将Ransomware检测为最后的防御线。“通过预测分析和机器学习备份数据模式,任何大小的组织都不仅可以检测到勒索在其数据上造成造成造成的ransomware,而且还恢复到最后的合法备份点降低时间,”他说。
Unitrends公司解释的过程:当进行备份时,软件定期处理数据。即使不知道你的文件的详细内容,指标收集,分析和存储以备将来的决策。这些指标包括:采集模式,变化率,增长率等。备份系统能够利用机器学习一段时间认识到,某些数据异常是指示的赎金软件攻击。当适当的条件出现时,管理员会立即通知。
ransomware位于列表的顶部
Eastwind网络的首席安全和战略官员Robert Huber表示,Ransomware是许多Cisos和CIO的优先事项列表之上。鉴于通过数据丢失的感染的成本,或收回数据的成本是有道理的。
“一个伟大的方法来检测帮助,更重要的是预防,就是利用预测分析,或机器学习的。不幸的是,在大规模进行机器学习计算历史上一直缓慢而昂贵的制作它主要反应。这已经在部署和管理等解决方案的困难加剧,”他说。
他说,作为部署机器学习的成本和能力(以及转向预测分析),他说,希望看到许多安全公司将其添加到解决方案并将其应用于赎金软件问题。
通常情况下,“下一代”的绰号给予许多新的安全产品只是将机器学习现有的问题集,他说。的平台,如谷歌云机器学习引擎和亚马逊机器学习的可用性降低了成本和复杂性。此外,该社区已经提高了最佳实践的状态,对于那些谁选择建立它自己。
“较少复杂,昂贵,更快的[机器学习]允许公司将其应用于更多近实时模式以预测/防止的网络安全,而不是反应。当然,这推出了公司能够构建[机器学习]模型,可以识别此活动,同时它仍然是新生。Huber说,这是您需要强大的数据科学家提取建立模型的相关功能。“
Tibco的Michael O'Connell指出了一些关于预测分析和机器学习方便的例子。
问题:出现太多的误报,因为组织倾向于为规则和KPI设置独立的阈值,他们认为需要保留在监视下。这是一个很好的起点,但不可避免地导致巨大的效率低下,因为不明白规则的数量及其内部相关性。
解决方案:使用机器学习以最佳地将现有或新规则与丰富的欺诈指标组合成富有的欺诈指标,以确保您在更小的调查工作示例中更有可能获得相关警报。TIBCO的机器学习模型都有监督和无人监督的组件。监督机器学习模型侧重于区分历史数据,从剩余部分中知道过去的欺诈案例。金融犯罪检测也需要能够通过使用无监督模型来适应惊喜。这种类型的模型侧重于分析典型的过去交易和发现奇数。不一定是欺诈性,但奇怪的,因此值得调查。
问题:危险的交易将会被人类,谁必须决定每笔交易无论是刑事或不进行调查。这导致了长时间的调查时间来准确和精确的结论。
解决方案:调查的决定,可以作出最高效的用于收集来自任何数量的不同来源的交易历史的所有信息的TIBCO Spotfire中调查模板。调查人员可以完成对TIBCO业务流程管理(BPM),使得将关于每个警报所有的决策都是在任何时间审核分析。此外,通过将Spotfire中对BPM的顶部,我们可以在调查过程中识别瓶颈并建议如何解决这些问题。更重要的是,作为交易得到调查和结论作出关于他们是否实际上是欺诈或没有,这些信息被用于监测模型健康随着时间的推移。
这个故事,“预测分析可以阻止其轨道中的勒索沃版”最初发表CSO 。