PolySwarm:一個去中心化的威脅情報市場
責編:gltian |2019-01-09 10:50:18PolySwarm是一個威脅情報的眾包市場,在這個市場上,來自全球社區的安全專家為終端用戶和企業提供保護。
PolySwarm 1.0 穩定版已構建完畢,將在未來兩周內發布。這是可疑文件威脅情報共享的新方式,采用集體智慧(或稱群智能)和區塊鏈傳播對可疑文件的判斷。雖然在某些方面上與VirusTotal類似,但也有主要的區別:PolySwarm添加了獨立惡意軟件分析師的集體智慧并有所回報。基本上,PolySwarm可被看做是吃了興奮劑的VirusTotal。
任何新解決辦法都預先假定現有方法中存在缺陷。PolySwarm看到了反惡意軟件行業(不是反惡意軟件公司而是整個市場)組織架構上的弱點和VirusTotal存在的缺陷。市場中的弱點就是重復勞動。數十家不同公司各自雇傭數十名高級分析師研究同一批可疑文件。這完全是行業資源的浪費。
VirusTotal中存在的問題則是兩個令人無奈的副作用。首先,VirusTotal推升了誤報可能性。提交到VirusTotal的文件不是交由人類分析師判斷,而是經由所有主流反惡意軟件公司的反惡意軟件引擎分析。這其中就可能出現失誤,良性文件容易被標記為惡意。只要兩到三個引擎確定某文件是惡意的,其他公司就有做出相同判斷或者被認為反應遲緩的壓力——即便那不過是個誤報。
其次,VirusTotal限制了反惡意軟件市場——暗示反惡意軟件市場僅由將引擎添加到VirusTotal的大公司構成。但事實上,還有數千家小公司和具備特定領域專門知識的獨立專家。這些主流大公司以外的人士因為從VirusTotal所得幾乎為零而通常不會加入VirusTotal。
PolySwarm首席執行官 Steve Bassi 解釋道:
隨著惡意軟件攻擊持續增長和進化,我們需要新的方式保護公司企業。現有的單個供應商殺軟威脅檢測模式不足以應付當今威脅態勢,有太多的誤報,且這種模式只能應付已知普遍威脅。這種反應遲鈍的惡意軟件發現模式最終會讓用戶處于風險之中。此外,安全行業面臨嚴重的人才短缺,我們必須重新思考這個行業的經濟學機制。
PolySwarm旨在通過創建去中心化的可疑文件情報開放市場來提供另一種可選的方案,在以太坊平臺的區塊鏈及智能合約架構下整合現有主流反惡意軟件供應商、全球小公司及獨立專家,還有金融激勵回報。其中回報出自PolySwarm自己的加密貨幣Nectar(NCT)。
PolySwarm威脅情報市場有4個重要相關群體:企業、特使、仲裁人和專家。還涉及兩個術語:工件和賞金。企業是帶有可疑或不確定工件(目前只是文件,但計劃包含進URL、域名和電子郵件)的終端用戶。特使至少目前來看是現有主流反惡意軟件供應商。賞金是由特使提供而由專家賺取的回報。專家就是全球各地成千上萬的獨立惡意軟件專業人士或小微企業。此類專家中很多都開發了自己的微引擎在專業領域幫助分類文件。
專家就特使挑出的工件交付斷言——惡意或良性。仲裁人就是裁判,對專家斷言做出最終裁決。
該市場的運作機制簡單說就是:企業提交可疑文件給其反惡意軟件供應商(代表)。供應商已經在常規操作中交付了其判斷,但用戶沒有被說服。然后供應商可以投入內部資源對文件進行進一步分析,或者將其提交到PolySwarm市場。
提交動作需隨附賞金。假設特使為正確的專家斷言提供了3個NCT幣的賞金。覺得自己掌握了正確答案的專家都可以加以響應:給出一個‘良性’或’惡意‘的斷言;但此舉需專家自己也在賞金池中投注NCT。對自己的斷言越自信,可以下注越大。如果斷言正確,專家可收回自己投入的部分,并贏取賞金池中相應比例的回報(比例基于自身賭注與賞金和其他所有專家賭注之和的比率)。
該方法鼓勵確有自信的專家,同時能阻攔輕率的響應(斷言錯誤的專家將失去自己的賭注)。正確斷言和支付數額的最終決策來自于仲裁人。結果就是,文件、網絡流量或URL吞吐量大的公司企業和MSSP可以近實時地從PolySwarm的自動化市場中獲得這些文件性質的判定。
PolySwarm成長及合作伙伴關系副總裁 Bill Fehr 稱,PolySwarm有三大核心好處。
首先,終端用戶可從在PolySwarm上查找威脅的很多引擎/微引擎提供的交織覆蓋中獲得更好的保護。其次,威脅檢測引擎會在賭注風險壓力下做出更高品質的判斷,并從判斷的準確性中獲利。最后,該市場的經濟學機制鼓勵某些引擎專精檢測零日威脅。
任何市場都逃不脫供需關系原理,PolySwarm也不例外。需求面由每天產生并經特使提交的成千上萬新惡意軟件樣本構成。最開始的時候特使基本限定在現有惡意軟件供應商范圍內,因為他們識別新惡意文件的動機最強烈。隨著市場成長,其他‘特使’也會被吸引過來;而因為是開發市場,沒人會被排除在外。供應面來自加入該市場的專家微引擎——負責提供威脅情報。
Samir Mody 是 K7 Security 公司專家威脅研究員,也是PolySwarm最初的‘仲裁人’之一。他表示:PolySwarm網絡是個高度創新性的概念,去中心化了大量網絡安全威脅對象的評估過程。PolySwarm生態系統因而積極納入和回饋具備不同專業技術集的網絡專家,讓全世界的有才網絡專家都有了為全球網絡安全做貢獻的機會。
Ikarus惡意軟件實驗室主管 Mario Bono 補充道:
PolySwarm通過經濟回報準確惡意軟件檢測的方式拓展了威脅檢測邊界。產生被動收益和獲取大量新惡意軟件樣本以改善我們產品的能力,是將我們吸引到PolySwarm市場的原因所在。