攻击者使用“非恶意软件”也能识别，来看看这个即将在RSA 2017上发布的新技术

常见的黑客攻击往往以病毒程序或恶意文件为载体，通过网络进行传播——这种攻击方式较容易被端点防护程序所检测到。但是如果黑客不走寻常路呢?在RSA Conference 2017 (美国信息安全大会)上，Carbon Black(美国信息安全公司，也就是原来的Bit9)将推出新的解决方案来针对那些另辟蹊径的攻击。

即将揭晓的技术被称作数据流防护技术(Streaming Prevention)，能够通过云端分析引擎，对用户终端一系列活动的前后的行为进行分析比对，既可以侦测传统的恶意程序攻击，也可以侦测利用非恶意程序开展的攻击。

该技术的主要实现方式是先为终端发生的事件打上标记，再将其上传到Carbon Black的云端分析平台。数据引擎会判断该事件是否属攻击行为的某一环。如确认，则将指示终端做好相应的防护措施。

Carbon Black为全球两千多家企业提供端点威胁解决方案，拥有海量终端设备所提交、反馈的数据，Streaming Prevention中利用的云端分析引擎正是建立在这个基础上。通过对终端数据建立统计模型，云端引擎可以甄别那些看似无害的行为是否为恶意攻击。

作为补充，安全分析者还会挑出那些云端引擎没能识别出来的攻击行为去分析究竟，并依此对数据统计的算法进行调整和改进，确保系统不会再对类似的攻击判断失误。

许多非恶意软件攻击会尝试利用合法工具，如PowerShell，Remote Desktop(远程桌面)和Flash来掩盖恶意行为。例如，通过Remote Desktop连接其他设备是很正常的一件事，但与一些不怀好意的手法相结合，Remote Desktop可能就被黑客利用，成为暗渡陈仓的幌子。传统单点防护技术如果习惯于把签名或信誉已记录在案的恶意文件当做单一的威胁指示器，就可能被黑客绕过。

不过Streaming Prevention的出现使得对此类恶意行为进行定位变得可能。分析引擎不仅会对单一事件进行标记，还会对事件前后发生的活动进行分析，比较。用Carbon Black自己的话说，“Carbon Black Defense(CB Defense)的云端平台收集汇总上千万终端的数据，这将有效减少威胁误报和漏报的发生。”

Streaming Prevention技术将应用于Carbon Black端点威胁解决方案的下一次升级，预计将在4月份实施。由于针对端点设备的攻击层出不穷，端点安全一直是RSA大会的一个重要议题。

作者：cxt
来源：51CTO

对风险用户“从不信任”，设备指纹的防篡改指南 一定程度上，设备指纹之于人的重要意义不亚于身份证。为什么这么说？大多数人可能都有过这样的经历：刷短视频时，只要我们点赞了某个视频，那么下一次再刷视频时，系统就会推荐更多类似的视频；
黑客能篡改WiFi密码，源于存在漏洞 随着社会的快速发展，城市中的无线网络遍布各处，如，首先是自家，一般都会接入光纤网络，然后是出行的交通工具汽车，火车，飞机等，或者是公园广场，商场，酒店等都是存在着无线网络，而且有一些无线网络是免密码连接就可以用的，那么它们是否存在安全问题呢？黑客会盯上WiFi网络吗？答案是会的。
iCloud Keychain加密曝漏洞，允许攻击者窃取各类信息 本文讲的是iCloud Keychain加密曝漏洞，允许攻击者窃取各类信息，据安全公司Longterm Security指出，一个未被报告的 iOS 安全漏洞破坏了 iCloud 的端到端加密功能，并且可能允许攻击者窃取密码，信用卡和任何的其它文件信息。
新型安卓木马SpyNote生成器遭泄露 本文讲的是新型安卓木马SpyNote生成器遭泄露， 近日，Palo Alto Networks 威胁情报团队Unit42 宣布发现一类新型安卓木马SpyNote，该木马可执行远程入侵功能，其生成器近日在多个恶意软件论坛上遭泄露。
看恶意软件Nitol如何使用新技术逃避沙盒检测 本文讲的是看恶意软件Nitol如何使用新技术逃避沙盒检测，安全人员最近观察到，Nitol僵尸网络在利用基于宏的恶意文档发动分布式攻击时，使用了新的逃避技术。
云栖大讲堂 擅长前端领域，欢迎各位热爱前端的朋友加入我们（ 钉钉群号：23351485）关注【前端那些事儿】云栖号，更多好文持续更新中！