您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
如何利用人工智能做好端點(diǎn)防護(hù)
在互聯(lián)網(wǎng)尚未普及的時(shí)代,機(jī)構(gòu)唯一需要擔(dān)心的就是內(nèi)網(wǎng)中員工使用的辦公電腦。而現(xiàn)在,遠(yuǎn)不只是在寫字樓,員工會(huì)在機(jī)場(chǎng)、咖啡店、酒店辦公,由于疫情時(shí)代,居家辦公更是常態(tài)。
與在公司內(nèi)網(wǎng)上對(duì)終端進(jìn)行保護(hù)相比,居家辦公的終端面臨的威脅完全不一樣。惡意軟件泛濫的游戲設(shè)備、連接互聯(lián)網(wǎng)的電視、音箱、攝像頭……這些智能設(shè)備的軟件可能上一次更新是在幾年前,都與你的辦公電腦處在同一個(gè)局域網(wǎng)。
傳統(tǒng)端點(diǎn)安全已失效
EDR(端點(diǎn)檢測(cè)和響應(yīng))在這五年來(lái),似乎一直都是終端安全的最優(yōu)解。但問題在于,市面上的許多EDR仍然沿用傳統(tǒng)的方法,嚴(yán)重依賴威脅情報(bào)和基于規(guī)則的響應(yīng)。這意味著,只能看到攻擊者已經(jīng)干了什么,而不知道未來(lái)會(huì)發(fā)生什么。
網(wǎng)絡(luò)攻擊者越來(lái)越善于逃避基于規(guī)則的檢測(cè)。他們能夠快速地關(guān)掉自己的域名,利用殺毒引擎平臺(tái)測(cè)試自己的惡意軟件,并使用雪鞋攻擊(大量IP少量連接)將黑名單對(duì)惡意域名的可見性降至最低,導(dǎo)致想維護(hù)一個(gè)包含最新信息的、全面的威脅情報(bào)數(shù)據(jù)庫(kù)變得更加困難。
兩名希臘的安全研究人員對(duì)18種最流行的EDR和端點(diǎn)保護(hù)產(chǎn)品進(jìn)行測(cè)試,結(jié)果只有兩款產(chǎn)品能夠完全覆蓋測(cè)試所用的高級(jí)攻擊手段。(測(cè)試報(bào)告:https://arxiv.org/pdf/2108.10422.pdf)
人工智能驅(qū)動(dòng)的行為檢測(cè)
以端點(diǎn)安全廠商Darktrace的自主響應(yīng)工具Antigena為例,它并非通過檢測(cè)已知的IOC來(lái)觸發(fā)緩解規(guī)則,而是使用機(jī)器學(xué)習(xí)技術(shù)建立正常的網(wǎng)絡(luò)流量和行為模型,然后實(shí)時(shí)監(jiān)控網(wǎng)絡(luò),以發(fā)現(xiàn)與預(yù)期行為不同的任何偏差,即異常行為。如:
某用戶訪問一個(gè)陌生服務(wù)器,并試圖將文件上傳到該服務(wù)器;一臺(tái)本地機(jī)器與外部大量的地址通信,而且這些目的地之前從未聯(lián)系過;一個(gè)幾乎不發(fā)送郵件的域名給某位員工發(fā)郵件。
當(dāng)發(fā)現(xiàn)可疑活動(dòng)時(shí),Antigena便會(huì)發(fā)出警告,也可以設(shè)置成主動(dòng)模式,自動(dòng)響應(yīng)該異常行為。而且,它的自學(xué)習(xí)機(jī)制可以根據(jù)行為的嚴(yán)重程度采取不同程度的處置措施,從簡(jiǎn)單的隔離電子郵件到把終端和整個(gè)網(wǎng)絡(luò)隔離。
終端上的輕量級(jí)代理
后疫情時(shí)代,居家辦公已是常態(tài)。員工可能會(huì)將公司的數(shù)據(jù)下載到家中的計(jì)算機(jī)上,然后有意或無(wú)意地將這些數(shù)據(jù)存儲(chǔ)到其他地方,比如公有云。這種混合工作環(huán)境,脫離了公司的網(wǎng)絡(luò)監(jiān)控視線,屬于典型的網(wǎng)絡(luò)安全盲區(qū)。
為了填補(bǔ)這一盲點(diǎn),無(wú)論是在辦公室、商務(wù)旅行還是在家中,都要實(shí)現(xiàn)終端的可視性。為此,Darktrace的端點(diǎn)檢測(cè)和響應(yīng)(EDR)產(chǎn)品包含了一個(gè)輕量級(jí)代理(cSensor),可以在Windows、Mac或Linux系統(tǒng)上運(yùn)行,在網(wǎng)絡(luò)和通信級(jí)別執(zhí)行異常行為的檢測(cè),并分析終端設(shè)備上發(fā)生的情況。
例如,一個(gè)新安裝的應(yīng)用程序正在與一個(gè)陌生的IP通信,或者某用戶沒有通過VPN連接到企業(yè)網(wǎng)絡(luò)上的另一臺(tái)設(shè)備。
cSensor還提供了額外的遙測(cè)功能,為Darktrace的其他產(chǎn)品提供了更多的上下文信息,幫助Antigena在更新網(wǎng)絡(luò)流量的自學(xué)習(xí)語(yǔ)料庫(kù)時(shí),實(shí)時(shí)發(fā)現(xiàn)問題。
例如,當(dāng)收到一封請(qǐng)求銀行交易的郵件時(shí),基于cSensor提供的上下文信息,Antigena的電子郵件產(chǎn)品能夠識(shí)別這是否是一封來(lái)自陌生域名的發(fā)件,該域名是否是可疑的,以及是否要發(fā)出報(bào)警或做出阻攔。這一切都是在輔助訓(xùn)練Antigena的自主響應(yīng)能力。
監(jiān)視斷開連接的設(shè)備
cSensor為機(jī)構(gòu)網(wǎng)絡(luò)上運(yùn)行的Darktrace實(shí)例建立了一個(gè)安全通道,當(dāng)設(shè)備與網(wǎng)絡(luò)斷開連接時(shí),可立即向后臺(tái)發(fā)出警報(bào),并依據(jù)安全管理平臺(tái)(這里是指Darktrace的Enterprise Immune System)的情報(bào)采取相應(yīng)行動(dòng)。
對(duì)于不具備7*24小時(shí)監(jiān)控服務(wù),但同時(shí)又有內(nèi)部監(jiān)管要求的組織來(lái)說,這是一個(gè)很好的使用案例。cSensor能幫助Antigena檢測(cè)設(shè)備上的員工行為是否安全,以它確保設(shè)備不會(huì)被濫用。
Antigena還能夠通過網(wǎng)絡(luò)流量來(lái)監(jiān)控?zé)ocSensor的端點(diǎn)設(shè)備,如傳感器、智能燈泡、聯(lián)網(wǎng)攝像頭,甚至是工業(yè)控制系統(tǒng)和OT設(shè)備。簡(jiǎn)而言之,可以監(jiān)控任何連進(jìn)網(wǎng)絡(luò)的有IP地址的端點(diǎn)。
端點(diǎn)安全的未來(lái)
端點(diǎn)安全未來(lái)會(huì)發(fā)生很大的變化,尤其是隨著人們逐漸適應(yīng)居家辦公模式,機(jī)構(gòu)網(wǎng)絡(luò)安全監(jiān)管范圍會(huì)擴(kuò)大到家庭的網(wǎng)絡(luò)設(shè)置。如,企業(yè)可能會(huì)要求將公司業(yè)務(wù)數(shù)據(jù)與家庭個(gè)人數(shù)據(jù)進(jìn)行物理隔離。這很可能意味著員工要有兩個(gè)彼此隔離的無(wú)線網(wǎng)絡(luò)。
端點(diǎn)設(shè)備一直都是網(wǎng)絡(luò)攻擊最為常見的入口,云計(jì)算、萬(wàn)物互聯(lián)和移動(dòng)辦公,更是令傳統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)手段失效。網(wǎng)絡(luò)安全范式轉(zhuǎn)換的時(shí)代已來(lái)臨,在萬(wàn)物互聯(lián)的數(shù)字世界,人工智能決定著未來(lái)攻防對(duì)抗的此消彼長(zhǎng)。
原文來(lái)源:數(shù)世咨詢