常見的黑客攻擊往往以病毒程序或惡意文件為載體，通過網(wǎng)絡(luò)進行傳播——這種攻擊方式較容易被端點防護程序所檢測到。但是如果黑客不走尋常路呢?在RSA Conference 2017 (美國信息安全大會)上，Carbon Black(美國信息安全公司，也就是原來的Bit9)將推出新的解決方案來針對那些另辟蹊徑的攻擊。

即將揭曉的技術(shù)被稱作數(shù)據(jù)流防護技術(shù)(Streaming Prevention)，能夠通過云端分析引擎，對用戶終端一系列活動的前后的行為進行分析比對，既可以偵測傳統(tǒng)的惡意程序攻擊，也可以偵測利用非惡意程序開展的攻擊。

該技術(shù)的主要實現(xiàn)方式是先為終端發(fā)生的事件打上標記，再將其上傳到Carbon Black的云端分析平臺。數(shù)據(jù)引擎會判斷該事件是否屬攻擊行為的某一環(huán)。如確認，則將指示終端做好相應(yīng)的防護措施。

Carbon Black為全球兩千多家企業(yè)提供端點威脅解決方案，擁有海量終端設(shè)備所提交、反饋的數(shù)據(jù)，Streaming Prevention中利用的云端分析引擎正是建立在這個基礎(chǔ)上。通過對終端數(shù)據(jù)建立統(tǒng)計模型，云端引擎可以甄別那些看似無害的行為是否為惡意攻擊。

作為補充，安全分析者還會挑出那些云端引擎沒能識別出來的攻擊行為去分析究竟，并依此對數(shù)據(jù)統(tǒng)計的算法進行調(diào)整和改進，確保系統(tǒng)不會再對類似的攻擊判斷失誤。

許多非惡意軟件攻擊會嘗試利用合法工具，如PowerShell，Remote Desktop(遠程桌面)和Flash來掩蓋惡意行為。例如，通過Remote Desktop連接其他設(shè)備是很正常的一件事，但與一些不懷好意的手法相結(jié)合，Remote Desktop可能就被黑客利用，成為暗渡陳倉的幌子。傳統(tǒng)單點防護技術(shù)如果習慣于把簽名或信譽已記錄在案的惡意文件當做單一的威脅指示器，就可能被黑客繞過。

不過Streaming Prevention的出現(xiàn)使得對此類惡意行為進行定位變得可能。分析引擎不僅會對單一事件進行標記，還會對事件前后發(fā)生的活動進行分析，比較。用Carbon Black自己的話說，“Carbon Black Defense(CB Defense)的云端平臺收集匯總上千萬終端的數(shù)據(jù)，這將有效減少威脅誤報和漏報的發(fā)生。”

Streaming Prevention技術(shù)將應(yīng)用于Carbon Black端點威脅解決方案的下一次升級，預(yù)計將在4月份實施。由于針對端點設(shè)備的攻擊層出不窮，端點安全一直是RSA大會的一個重要議題。