يمكن أن يساعد التعلم الآلي الشركات على الاستجابة بشكل أسرع لمنتج الفدية

في عالم تتعرض فيه البرامج الضارة لاحترام الذات المؤلف يتأكد من أن إبداعاته تجاوزت الكشف عن الفيروسات قبل الإفراج عنها ، تضطر فرق أمن المؤسسات إلى التركيز على تحسين أوقات الاستجابة للعدوى بدلا من محاولة منعها كلها ، والتي من المحتمل أن تكون لعبة خاسرة.

Exabeam ، a مزود تحليلات سلوك المستخدم والكيان ، ويعتقد أن خوارزميات التعلم الآلي يمكن أن تحسن بشكل كبير الفدية كشف ووقت رد الفعل ، ومنع هذه البرامج من الانتشار داخل الشبكة والتأثير على عدد أكبر من الأنظمة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

نظرًا لاحتساب سعر فك التشفير الذي طلبه مؤلفو رانسومواري لكل نظام ، عزل أجهزة الكمبيوتر المتأثرة في أقرب وقت ممكن أمر بالغ الأهمية. في الأسبوع الماضي فقط ، أعلنت جامعة كالجاري أنها دفعت 20،000 دولار كندي (حوالي 15600 دولار أمريكي) لمؤلفي الفدية للحصول على مفاتيح فك التشفير لأنظمة متعددة.

Exabeam's Analytics for Ransomware ، وهو منتج جديد تم الإعلان عنه اليوم ، يستخدم الشركة تكنولوجيا تحليلات السلوك الحالية للكشف عن إصابات رانسومواري بعد وقت قصير من حدوثها.

يستخدم المنتج البيانات من سجلات الشركة الموجودة لإنشاء ملفات تعريف سلوك لأجهزة الكمبيوتر والمستخدمين. هذا يسمح لها بالكشف عن رانسومواري غير معروف سابقًا بدون توقيعات كشف موجودة مسبقًا من خلال تحليل الحالات الشاذة في الملف وسلوك المستندات الخاصة بالموظفين.

لتجنب حدوث اكتشافات موجبة خاطئة ، فإن أعلام التقنية تصادف الحوادث باعتبارها رانسومواري عندما تكون درجة الخطر المشتركة للأنشطة المشبوهة المتعددة يمكن أن يشير هذا النوع من التهديدات إلى عتبة معينة.

فريق الأبحاث الأمنية في Exabeam يساعد على تدريب المنتج في المختبر من خلال تنفيذ عدد كبير جدًا من عينات الفدية على أجهزة الكمبيوتر التجريبية والسماح له بمراقبة سلوكه من أجل بناء التهديد نماذج

Exabeam

Exabeam يبني درجة التهديد بناء على الشذوذ السلوكي.

المنتج ليس لديه قدرات حجب نفسها ويهدف إلى استخدامها من قبل محللي أمن الشركة للكشف السريع عن الحوادث الأمنية والاستجابة لها. وهي متاحة كإضافة لمنصة التحليلات الأكبر للشركة ، والتي يمكنها بالفعل اكتشاف انتهاكات سياسات أمان الشركة الداخلية.

على الرغم من عدم وجود وظيفة محايدة للتهديد المضمنة ، يمكن للنظام الأساسي أن يتكامل مع أدوات الأمان الأخرى ويسمح للمحللين بإنشاء برامج نصية إدارية يتم تنفيذها تلقائيًا عند اكتشاف أي حادث - على سبيل المثال ، عزل جهاز كمبيوتر مصاب من بقية الشبكة.

يتم توزيع Ransomware عادةً من خلال هجمات التنزيل من خلال محرك الأقراص والرسائل الإلكترونية الاحتيالية ، مما يعني أن أجهزة الكمبيوتر تتأثر واحدًا تلو الآخر ، استنادًا إلى إجراءات المستخدمين. ومع ذلك ، في إعداد الشركة ، يمكن للفيروسات أن تنتشر بسهولة خارج حاسوب واحد من خلال التأثير على الملفات الموجودة على خوادم مشاركة المستندات وخدمات التعاون الأخرى التي يستخدمها الموظفون.

في الآونة الأخيرة ، حتى أن بعض برامج الفدية قد اكتسبت قدرات شبيهة بالديدان وانتشار الذات. بمجرد أن يسمى هذا التهديد ZCrypt وينسخ نفسه إلى محركات أقراص USB الخارجية ، من حيث يتم تنفيذه عبر ملفات autorun.inf المارقة.

من خلال تشغيل عدد كبير جدًا من عينات الفدية في بيئة مختبرية ، لاحظ الباحثون في Exabeam أيضًا الاتجاهات المثيرة للاهتمام: على سبيل المثال ، الزيادة الأخيرة في سعر الفدية.

"قبل شهرين أو ثلاثة أشهر كانت معظم قيم الفدية بين 0.4 و 1 بيتكوين" ، قال باري شتيمان ، رئيس أبحاث التهديد في Exabeam. "لقد تغير هذا خلال الشهر الماضي ، السعر الآن بين 2 و 5 بيتكوين."

هذا يمكن أن يكون مدفوعا بحقيقة أن العديد من مؤلفي رانسومواري يركزون الآن على استهداف الأعمال ، والشركات مستعدة لدفع أكثر من المستهلكين من أجل استعادة ملفات الأعمال الهامة.

ملاحظة أخرى مثيرة للاهتمام هو أنه لا يوجد مثبت جديد رانسومواري يبقى العمل أكثر من يوم واحد.

هذا يشير إلى أن "حملات رانسومواري تتغير كل يوم" ، قال شتيمان. "إنه مثل عمل منشئي المحتوى في وضع DevOps ، وإصدار تعليمات برمجية جديدة إلى شركاء البريد الإلكتروني غير المرغوب فيه كل يوم."