自製陷阱引攻擊:防毒廠商是如何收集最新風險情報?
防毒軟件是每家公司或個人都會使用到的「看門口」軟件,想必大家都有「一套在手」,而今次我們便為大家揭開這些防毒軟件廠商究竟是怎樣通過一些手段去收集每天數以萬計的最新安全威脅。
由於方法有很多,以下我們便為大家初步講解一下收集過程
1. 現有用户通報惡意檔案或報告系統檔案遺失
這是每家防毒軟件廠商均會使用的方法。基本上,防毒軟件會通過客户端(即正在使用軟件的客户)收集各種數據;如果大家有花時間在安裝防毒軟件前將所有使用條款看一次,那你便不難發現當中的某個部份會列出了軟件將會收集用户電腦的網絡流量以及異常檔案等情況;通過將這些風險情報自動上傳到防毒軟件廠商的實驗室進行分析,這樣便能第一時間得知最新的安全風險以及就這些威脅製作出最新的簽名檔,並於最短時間內推送至其客户端的軟件之中,從而達致防禦之效。
2. 採用 VirusTotal 提供的資料庫
與預防 Spam 的引擎一樣,現今網絡世界的最新安全威脅其實亦擁有專屬的全球資料庫,而當中由 Google 帶領的 VirusTotal 便是一個最被防毒軟件廠商所採用的最新安全風險資料來源。現時即便是普通用户,亦可於 VirusTotal 之中上傳檔案、輸入網址以便即時取得其是否帶有安全風險等相關資訊;而當用户所上傳的資料帶有病毒或威脅時,VirusTotal 亦會向合作的防毒軟件廠商通報,以便讓它們即時製作相應的預防措施。
此引擎除了是各家防毒軟件廠商收集最新安全威脅資料的來源之外,其實它本身亦與多達數以百計的全球資安廠商合作,就好像是 Kaspersky 亦是其中的一員;此平台收集到的各種威脅都會經合作廠商偵測、研究以及分享,所以不論是風險情報收集以及是分析及解除安全威脅等,其速度以及能力都是不容置疑的。
3. 巨額現金誘黑客向安全廠商通報
黑客都是人,都需要賺取生活費;因此黑客都會「為錢而活」。現時網絡上已漸漸出現一些專為黑客而設的獎勵平台;這些獎勵平台主要希望讓黑客於系統之內找尋各種新的漏洞,從而賺取由廠商給予的各種回報;例如是現金回報又或者是換取知名度。
例如 The Internet Bug Bounty 便是其中之一;此平台收集來自各家廠商所推出的黑客現金活動;例如 Sandbox 便於該平台之上刊登出一個獎勵,該獎勵達到 5000 美元,主要是希望黑客突破 Sandbox 隔離的技術,到現時為止已有 5 名黑客獲得獎勵。
4. 部署 Honeypot 引誘黑客攻擊
最後一個要提及的方法就是採用 Honeypot 以收集最新黑客攻擊活動及發現系統弱點/漏洞。其實 Honeypot 本身涉及大量專業的技術範圍,由於本文以簡述為主,因此便不多說技術層面了。
簡單說 Honeypot 就是一個專為黑客而設的陷井,你可於 Honeypot 當中透過觀看黑客攻擊的紀錄從而發現系統漏洞;如果面對一些低級黑客,或業餘黑客,你更有可能從 Honeypot 之中捕獲攻擊者的真實 IP 等資訊(雖然此機會微乎其微)。
其實防毒軟件廠這仍有很多收集情報的方法,例如通過取得最新的 Spam 資料庫、通過全球 Malware 資料庫取得相關安全風險情報,往後有機會的話再與大家作更多分享吧!
鳴謝 : Lapcom