PolySwarm是一个威胁情报的众包市场,在这个市场上,来自全球社区的安全专家为终端用户和企业提供保护。
PolySwarm 1.0 稳定版已构建完毕,将在未来两周内发布。这是可疑文件威胁情报共享的新方式,采用集体智慧(或称群智能)和区块链传播对可疑文件的判断。虽然在某些方面上与VirusTotal类似,但也有主要的区别:PolySwarm添加了独立恶意软件分析师的集体智慧并有所回报。基本上,PolySwarm可被看做是吃了兴奋剂的VirusTotal。
任何新解决办法都预先假定现有方法中存在缺陷。PolySwarm看到了反恶意软件行业(不是反恶意软件公司而是整个市场)组织架构上的弱点和VirusTotal存在的缺陷。市场中的弱点就是重复劳动。数十家不同公司各自雇佣数十名高级分析师研究同一批可疑文件。这完全是行业资源的浪费。
VirusTotal中存在的问题则是两个令人无奈的副作用。首先,VirusTotal推升了误报可能性。提交到VirusTotal的文件不是交由人类分析师判断,而是经由所有主流反恶意软件公司的反恶意软件引擎分析。这其中就可能出现失误,良性文件容易被标记为恶意。只要两到三个引擎确定某文件是恶意的,其他公司就有做出相同判断或者被认为反应迟缓的压力——即便那不过是个误报。
其次,VirusTotal限制了反恶意软件市场——暗示反恶意软件市场仅由将引擎添加到VirusTotal的大公司构成。但事实上,还有数千家小公司和具备特定领域专门知识的独立专家。这些主流大公司以外的人士因为从VirusTotal所得几乎为零而通常不会加入VirusTotal。
PolySwarm首席执行官 Steve Bassi 解释道:
随着恶意软件攻击持续增长和进化,我们需要新的方式保护公司企业。现有的单个供应商杀软威胁检测模式不足以应付当今威胁态势,有太多的误报,且这种模式只能应付已知普遍威胁。这种反应迟钝的恶意软件发现模式最终会让用户处于风险之中。此外,安全行业面临严重的人才短缺,我们必须重新思考这个行业的经济学机制。
PolySwarm旨在通过创建去中心化的可疑文件情报开放市场来提供另一种可选的方案,在以太坊平台的区块链及智能合约架构下整合现有主流反恶意软件供应商、全球小公司及独立专家,还有金融激励回报。其中回报出自PolySwarm自己的加密货币Nectar(NCT)。
PolySwarm威胁情报市场有4个重要相关群体:企业、特使、仲裁人和专家。还涉及两个术语:工件和赏金。企业是带有可疑或不确定工件(目前只是文件,但计划包含进URL、域名和电子邮件)的终端用户。特使至少目前来看是现有主流反恶意软件供应商。赏金是由特使提供而由专家赚取的回报。专家就是全球各地成千上万的独立恶意软件专业人士或小微企业。此类专家中很多都开发了自己的微引擎在专业领域帮助分类文件。
专家就特使挑出的工件交付断言——恶意或良性。仲裁人就是裁判,对专家断言做出最终裁决。
该市场的运作机制简单说就是:企业提交可疑文件给其反恶意软件供应商(代表)。供应商已经在常规操作中交付了其判断,但用户没有被说服。然后供应商可以投入内部资源对文件进行进一步分析,或者将其提交到PolySwarm市场。
提交动作需随附赏金。假设特使为正确的专家断言提供了3个NCT币的赏金。觉得自己掌握了正确答案的专家都可以加以响应:给出一个‘良性’或’恶意‘的断言;但此举需专家自己也在赏金池中投注NCT。对自己的断言越自信,可以下注越大。如果断言正确,专家可收回自己投入的部分,并赢取赏金池中相应比例的回报(比例基于自身赌注与赏金和其他所有专家赌注之和的比率)。
该方法鼓励确有自信的专家,同时能阻拦轻率的响应(断言错误的专家将失去自己的赌注)。正确断言和支付数额的最终决策来自于仲裁人。结果就是,文件、网络流量或URL吞吐量大的公司企业和MSSP可以近实时地从PolySwarm的自动化市场中获得这些文件性质的判定。
PolySwarm成长及合作伙伴关系副总裁 Bill Fehr 称,PolySwarm有三大核心好处。
首先,终端用户可从在PolySwarm上查找威胁的很多引擎/微引擎提供的交织覆盖中获得更好的保护。其次,威胁检测引擎会在赌注风险压力下做出更高品质的判断,并从判断的准确性中获利。最后,该市场的经济学机制鼓励某些引擎专精检测零日威胁。
任何市场都逃不脱供需关系原理,PolySwarm也不例外。需求面由每天产生并经特使提交的成千上万新恶意软件样本构成。最开始的时候特使基本限定在现有恶意软件供应商范围内,因为他们识别新恶意文件的动机最强烈。随着市场成长,其他‘特使’也会被吸引过来;而因为是开发市场,没人会被排除在外。供应面来自加入该市场的专家微引擎——负责提供威胁情报。
Samir Mody 是 K7 Security 公司专家威胁研究员,也是PolySwarm最初的‘仲裁人’之一。他表示:PolySwarm网络是个高度创新性的概念,去中心化了大量网络安全威胁对象的评估过程。PolySwarm生态系统因而积极纳入和回馈具备不同专业技术集的网络专家,让全世界的有才网络专家都有了为全球网络安全做贡献的机会。
Ikarus恶意软件实验室主管 Mario Bono 补充道:
PolySwarm通过经济回报准确恶意软件检测的方式拓展了威胁检测边界。产生被动收益和获取大量新恶意软件样本以改善我们产品的能力,是将我们吸引到PolySwarm市场的原因所在。