Nick Lewis(CISSP,GCWN))是一名信息安全分析师。他主要负责风险管理项目,并支持该项目的技术PCI法规遵从计划。2002年,Nick获得密歇根州立大学的电信理学硕士学位;2005年,又获得Norwich大学的信息安全保障理学硕士学位。在他09年加入目前的组织之前,Nick曾在波士顿儿童医院、哈佛医学院初级儿科教学医院,以及Internet2和密歇根州立大学工作。
通过监控电力消耗来检测恶意软件,这可能吗?它适合企业使用吗?在本文中,企业威胁专家Nick Lewis将探讨这个问题。
一家安全初创公司声称其开发的新技术可以通过监控系统或设备的电力消耗来提高恶意软件检测率。这种技术的工作原理是什么,这是否是企业检测和应对威胁的可行方法?
Nick Lewis:PFP Cybersecurity声称其产品可以检测很多不同平台的恶意软件和零日攻击,这些平台包括SCADA、半导体、移动设备和网络设备等。该产品会监控功率使用情况,并通过“带外、物理层的方法”检测功率模式中的异常情况。对于具有敏感电源配置或受到密切监控的系统而言,使用电源或电池使用中的变化情况是检测异常的合理方法,这好比监控网络连接来发现正常活动中的变化。
PFP的产品采用了所谓的“侧信道攻击”检测;一台外部设备监测功耗情况来确定内部操作中的变化。这样的攻击已被用于提取加密密钥以进一步说明侧信道攻击/监测的功率。当执行加密或任何CPU操作时,计算机或设备需要一定量的功率来执行计算。计算越密集,需要的功率越多。在具有可预测功耗曲线的系统中,电力使用变化可能是恶意软件所导致,这表明应对一些情况进行调查。
但同样重要的是,在不同类型的系统中总是会发生小功率变化,例如当更新推送到系统时、故障排查时、高峰使用期间等。
PFP安全工具可能适合于受控制的环境,而不一定适合一般企业用途(虽然PFP不认为是这样)。该工具可能需要很大程度的调试和监测,但在端点不能改变或难以监测的设置中,PFP Cybersecurity的工具会很有价值。