2012年8月15日,上午还剩11分08秒,每个安全专业的噩梦成真了沙特阿拉伯国家石油公司,世界上最大的石油公司。一个恶意软件被称为W32。Shamoon Disttrack,或者更亲密地,超过35000的个人电脑和服务器瘫痪,他们存储的文件替换为焚烧美国国旗的形象。

Shamoon是未被发现的通过网络传播,感染尽可能多的电脑,,命令后,覆盖他们的主引导记录,破坏计算机的信息,让他们无法重新启动。

为了包含恶意软件,沙特阿拉伯国家石油公司采取把计算机和网络设备的墙上。其内部通信网络在很大程度上是离线数周。

最后伤害,攻击后的第二天,一个文件被上传到Pastebin,网站用于存储文本,包括路由器名称,管理密码、电子邮件地址和密码,似乎属于沙特阿拉伯国家石油公司的首席执行官。

在布里斯托尔英国、办公室,惠普实验室的研究人员重新攻击袭击沙特阿拉伯国家石油公司的专门建造了一个单独的网络计算环境,在那里他们可以运行世界上最危险的代码不允许它蔓延。

实验室团队正在采取一种不同的方法信息安全的更广泛努力的一部分从根本上改变安全是如何工作的。

安全产品通常是创建新类型的攻击反应。这迫使企业代入越来越多的产品,每个具体利用或vulnerability-networks、应用程序、Web浏览器等等。这种组合是具有挑战性的管理:产品并不总是一起工作得很好,和他们之间的差距依然存在。

“通常,安全螺栓在设计工作完成后,“比尔·霍恩表示,惠普实验室安全研究部主任。他的团队的工作涉及到新计算机体系结构,结合安全的,在每一个级别的堆栈。

实验室的研究人员正在开发单独的一部分的方法计算机负责安全从主操作环境所以它可以监视入侵的迹象。他们也想出技术检测网络上的反常行为,快速加密数据即使在使用,不仅验证用户和应用程序也离散过程。

综上所述,这些能力将提高一个组织的能力,以防止入侵,以及探测、响应和恢复攻击蒙混过关。提供这种类型的全面的安全是一个巨大的挑战,躲避安全行业多年。

“这些都是非常雄心勃勃的,多年的项目,”霍恩说。

需要重启

在过去的十年左右,安全软件已经从反病毒程序,列入黑名单已知恶意代码先进威胁检测程序搜索流氓文件传输。但潜在的方法保持一致:软件工作的指导下操作系统。

此方法(而且不一定是软件自身问题,理查德·布朗说。他负责监督安全研究在惠普实验室在布里斯托尔。

现代的恶意软件变得越来越复杂。它不只是获得未经授权的访问;它改变了计算机的操作系统和隐藏等技术流程挖空,DLL注入,和API连接。

使用这样的方法,恶意软件发现一个合法的程序或进程已经运行在计算机的内存,创建一个新的副本,包括恶意功能,然后以恶意替换合法的副本。

例如,恶意软件可能在停止模式下启动Windows资源管理器的一个实例,将自身复制到内存的暂停过程中,覆盖现有的内存中的可执行文件,然后恢复执行。虽然这是发生,用户可能会看到探险家。exe运行。

“你认为你的系统是好的,但实际上,这是恶意软件,”布朗说。

作为一个证明如何恶意软件可以隐藏自己,205天的平均违约并不是发现,根据安全公司FireEye。

Excellus蓝十字和蓝盾纽约,例如,2015年9月发现,违反了2013年12月。在此期间,黑客偷了相关的数据多达1050万名患者,包括社会安全号码,财务记录和临床记录。

另一个竞选使用恶意软件叫做火焰,可以从被感染的计算机窃取文件,截图,使用电脑的麦克风来记录谈话内容妥协数以百计的政府和研究机构在近70个国家五年。

组织花费超过750亿美元在2015年信息安全,据研究公司Gartner。然而,黑客攻击的数量和严重性还在继续增长。

去年,美国组织公开披露296数据泄露归因于黑客行为,根据非盈利身份盗窃资源中心,2012年报告数量的两倍以上。波耐蒙研究所2015年的一项研究发现,每一个网络犯罪攻击受害者组织成本平均为770万美元。

和攻击越来越广泛。当黑客仍然主要目标运行Windows操作系统的计算机,2015年激增攻击电脑运行Linux, Android OS X和iOS操作系统,根据2016年HPE的网络风险报告。

需要重启

实验室团队的指导原则之一就是软件旨在检测操作系统不应该妥协,操作系统上运行。大约三年前,电脑芯片制造商如臂(TrustZone)和英特尔(可信执行技术)开始添加单独的“执行环境”自己的产品,专门解决安全。

这些安全执行环境的实验室团队写的软件,可以监控操作系统、运行像往常一样在正常环境。只有一个方法:正常环境的连接无法访问安全,防止任何恶意软件在操作系统损害监测实验室开发的代码。

电脑刚启动时,Labs-designed安全的环境中的软件收集约1000件的信息操作系统是如何执行的。它存储这些数据的测量,并使用它们作为一个安全基线状态。每次检测的软件基线的改变一个新的测量,它将发出警报。

看这里的系统恢复视频的新方法。

除了这些引导时测量,实验室将技术被称为Midasu“发现”(日本)。Midasu利用恶意软件的需要修改的部分计算机的内存,执行命令来隐藏自己。实验室代码扫描这个可执行的内存,使用一个有效的算法称为“滚动哈希”来创建一个操作系统的数字指纹。然后使用统计分析比较指纹和过去的结果,寻找一个不同寻常的变异量。

实验室最近做了一个测试,它感染了36个电脑16变异的恶意软件,包括宙斯,特洛伊木马恶意软件方案,被用来窃取数据从美国银行(Bank of America)和美国交通部,等等。以前Midasu检查这些计算机,以及25没有感染。

Midasu发现了大量可疑行为在一些未受感染的电脑并感染computers-hundreds出现只是其中一部分。

“我们已经能够证明有一个可靠的系统和那些恶意软件的感染之间的区别,”布朗说。还提供了更聪明的方法和强劲复苏能力,应该系统最终成为妥协。

安全的环境需要和商店定期快照的操作系统。如果操作系统被破坏,安全的环境可以执行内存取证,以确定问题的根源,并确定如何快速修复系统。这使得计算机操作,有助于防止恶意软件的传播。

实验室正在赢得独立观察人士的支持。说:“这种方法看起来更坚实的洛伦佐Cavallaro,高级讲师信息安全小组在伦敦大学皇家霍洛威学院。“有hardware-backed解决方案可能是前进的方向。”

使用大数据

更高的计算堆栈,承诺在使用大数据分析来识别一个妥协。

像涟漪出现后,有人把一个卵石扔进了池塘里,恶意软件机器它感染上留下痕迹。这些痕迹往往失去了在其他波和涟漪创建每一分钟在公司计算机网络。只是太多的数据有许多“事件”,在安全代表大多数系统整理。

两个问题的挑战:复杂的攻击,而发生的更频繁,仍相对较少。因为恶意软件是不断发展的,攻击的迹象并不总是明确的。

大多数公司今天日志网络活动,马可Casassa蒙特说,布里斯托尔的实验室主要研究科学家。但是很少有马力计算和分析的专业知识发现的模式数据可能表明一个隐形攻击。

一个例子是域名系统安全分析的查询,或事件在电脑查找另一个设备的IP地址。在2015年的一项试点项目,检查网络流量从HPE数据中心,实验室研究人员数160亿包每天从DNS查询,其数量远远超过用户访问日志等相关数据类型由一个数量级。

整理这些数据可以阻止用户不小心连接到恶意网站,或确定一个黑客攻击系统的尝试通过互联网发送偷来的数据。实验室帮助开发一种方法称为威胁洞察力,使用统计模型和自适应规则迅速和安全地放弃99%的DNS日志条目可能是安全的事件。剩余的条目,这显然是坏的还是一个未知的性质,然后进行分析,以检测潜在攻击。

这仍然是大量的数据- 160包一天的HPE的情况。但是现代安全事件管理平台可以轻松处理。这个方法现在已经内置HPE ArcSight的DNS恶意软件分析产品。分析算法,计算机内存和处理能力提高,数据分类方法将变得越来越可行。

结果:“有高度的信心,我们可以检测到的威胁在几分钟,几小时,而不是几天,“Casassa蒙特说。

计算超越摩尔定律

安全专家也必须考虑这一事实数据量呈指数级增长。然而,今天的计算机的处理能力大约每两年翻一番自1960年代以来按照摩尔定律竭力维护自己的历史步伐。这一挑战只会变得更严重,随着越来越多的设备通过互联网连接的事情。安全地处理这个即将到来的海量数据处理能力需要一个大跃进。

迎接这一挑战,实验室目前开发机,一个全新的计算架构处理数据远比传统的电脑更快速,也更有效。这台机器提供了一个机会来构建安全计算机的设计。和它的原始力量让安全团队有机会发现模式和想象防御技术不可能在今天的计算机。

在其功能,机器取代了传统的RAM和基于磁盘的存储大量的快速访问,保留数据的非易失性内存,即使电脑要关闭。这种设计计算有效得多。例如,今天的企业计算机系统通常可以分析每秒50000 DNS事件和存储5分钟的数据,根据实验室研究。相比之下,这台机器能够处理1000万每秒DNS事件和储存14天的DNS查询。

这种量子性能飞跃承诺加强威胁检测和响应,并显著降低攻击造成的损失。

保持秘密

这些天大多数计算机加密数据在存储和“静止”“运输”到另一台计算机的数据。他们通常不会加密数据在第三状态,当它的“使用中”电脑,坐在活动内存。加密和解密数据的人花费更多的时间比实际积极操纵或分析。几乎所有的现代的工作负载的性能影响是不可接受的和用例。

多年来,黑客们已经学会了如何偷好了数据从内存。例如,暴露数据从7000万年的2013违反客户账户在零售商的目标是通过RAM完成抓取工具,偷了销售点系统的随机存取存储器数据。

保护数据在使用的挑战变得更加必要的机器,这样一个计算架构的数据几乎总是在使用。实验室正在寻求一些解决这个问题的。

在一个技术,内存速度加密,一个独特的加密密钥保护每个计算机的内存。在这里,实验室部署一个执行环境独立于主计算机。

数据写入一个特定节点,这个单独的环境产生一个独特的密码“种子”,发送节点通过一个安全的通信通道。在每个节点中,内存控制单元使用这种子生成一个加密密钥。

因此,该系统可以加密数据的写入。关键是存储在一个单独的但段安全不稳定的内存有关,从控制单元和擦除。

机器的快速访问非易失存储器,再加上一个基于硬件的加密方法,极大地提高性能,使快速加密和解密使用中实际数据。因此,如果一个黑客可以访问memory-whether由RAM刮,甚至身体上偷的单位是stored-he将无法读取数据。

“人们已经尝试这样做,但没有人做过的规模和速度,我们试图这样做,”弗雷泽Dickin说实验室的高级研究员。

实验室正在探索其他方法安全计算机,包括编程技术和防火墙技术来保证系统组件之间的消息的完整性。这些防御提供各级安全堆栈,并承诺阻止黑客。