您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
如何利用人工智能做好端點防護
在互聯(lián)網(wǎng)尚未普及的時代,機構(gòu)唯一需要擔心的就是內(nèi)網(wǎng)中員工使用的辦公電腦。而現(xiàn)在,遠不只是在寫字樓,員工會在機場、咖啡店、酒店辦公,由于疫情時代,居家辦公更是常態(tài)。
與在公司內(nèi)網(wǎng)上對終端進行保護相比,居家辦公的終端面臨的威脅完全不一樣。惡意軟件泛濫的游戲設備、連接互聯(lián)網(wǎng)的電視、音箱、攝像頭……這些智能設備的軟件可能上一次更新是在幾年前,都與你的辦公電腦處在同一個局域網(wǎng)。
傳統(tǒng)端點安全已失效
EDR(端點檢測和響應)在這五年來,似乎一直都是終端安全的最優(yōu)解。但問題在于,市面上的許多EDR仍然沿用傳統(tǒng)的方法,嚴重依賴威脅情報和基于規(guī)則的響應。這意味著,只能看到攻擊者已經(jīng)干了什么,而不知道未來會發(fā)生什么。
網(wǎng)絡攻擊者越來越善于逃避基于規(guī)則的檢測。他們能夠快速地關(guān)掉自己的域名,利用殺毒引擎平臺測試自己的惡意軟件,并使用雪鞋攻擊(大量IP少量連接)將黑名單對惡意域名的可見性降至最低,導致想維護一個包含最新信息的、全面的威脅情報數(shù)據(jù)庫變得更加困難。
兩名希臘的安全研究人員對18種最流行的EDR和端點保護產(chǎn)品進行測試,結(jié)果只有兩款產(chǎn)品能夠完全覆蓋測試所用的高級攻擊手段。(測試報告:https://arxiv.org/pdf/2108.10422.pdf)
人工智能驅(qū)動的行為檢測
以端點安全廠商Darktrace的自主響應工具Antigena為例,它并非通過檢測已知的IOC來觸發(fā)緩解規(guī)則,而是使用機器學習技術(shù)建立正常的網(wǎng)絡流量和行為模型,然后實時監(jiān)控網(wǎng)絡,以發(fā)現(xiàn)與預期行為不同的任何偏差,即異常行為。如:
某用戶訪問一個陌生服務器,并試圖將文件上傳到該服務器;一臺本地機器與外部大量的地址通信,而且這些目的地之前從未聯(lián)系過;一個幾乎不發(fā)送郵件的域名給某位員工發(fā)郵件。
當發(fā)現(xiàn)可疑活動時,Antigena便會發(fā)出警告,也可以設置成主動模式,自動響應該異常行為。而且,它的自學習機制可以根據(jù)行為的嚴重程度采取不同程度的處置措施,從簡單的隔離電子郵件到把終端和整個網(wǎng)絡隔離。
終端上的輕量級代理
后疫情時代,居家辦公已是常態(tài)。員工可能會將公司的數(shù)據(jù)下載到家中的計算機上,然后有意或無意地將這些數(shù)據(jù)存儲到其他地方,比如公有云。這種混合工作環(huán)境,脫離了公司的網(wǎng)絡監(jiān)控視線,屬于典型的網(wǎng)絡安全盲區(qū)。
為了填補這一盲點,無論是在辦公室、商務旅行還是在家中,都要實現(xiàn)終端的可視性。為此,Darktrace的端點檢測和響應(EDR)產(chǎn)品包含了一個輕量級代理(cSensor),可以在Windows、Mac或Linux系統(tǒng)上運行,在網(wǎng)絡和通信級別執(zhí)行異常行為的檢測,并分析終端設備上發(fā)生的情況。
例如,一個新安裝的應用程序正在與一個陌生的IP通信,或者某用戶沒有通過VPN連接到企業(yè)網(wǎng)絡上的另一臺設備。
cSensor還提供了額外的遙測功能,為Darktrace的其他產(chǎn)品提供了更多的上下文信息,幫助Antigena在更新網(wǎng)絡流量的自學習語料庫時,實時發(fā)現(xiàn)問題。
例如,當收到一封請求銀行交易的郵件時,基于cSensor提供的上下文信息,Antigena的電子郵件產(chǎn)品能夠識別這是否是一封來自陌生域名的發(fā)件,該域名是否是可疑的,以及是否要發(fā)出報警或做出阻攔。這一切都是在輔助訓練Antigena的自主響應能力。
監(jiān)視斷開連接的設備
cSensor為機構(gòu)網(wǎng)絡上運行的Darktrace實例建立了一個安全通道,當設備與網(wǎng)絡斷開連接時,可立即向后臺發(fā)出警報,并依據(jù)安全管理平臺(這里是指Darktrace的Enterprise Immune System)的情報采取相應行動。
對于不具備7*24小時監(jiān)控服務,但同時又有內(nèi)部監(jiān)管要求的組織來說,這是一個很好的使用案例。cSensor能幫助Antigena檢測設備上的員工行為是否安全,以它確保設備不會被濫用。
Antigena還能夠通過網(wǎng)絡流量來監(jiān)控無cSensor的端點設備,如傳感器、智能燈泡、聯(lián)網(wǎng)攝像頭,甚至是工業(yè)控制系統(tǒng)和OT設備。簡而言之,可以監(jiān)控任何連進網(wǎng)絡的有IP地址的端點。
端點安全的未來
端點安全未來會發(fā)生很大的變化,尤其是隨著人們逐漸適應居家辦公模式,機構(gòu)網(wǎng)絡安全監(jiān)管范圍會擴大到家庭的網(wǎng)絡設置。如,企業(yè)可能會要求將公司業(yè)務數(shù)據(jù)與家庭個人數(shù)據(jù)進行物理隔離。這很可能意味著員工要有兩個彼此隔離的無線網(wǎng)絡。
端點設備一直都是網(wǎng)絡攻擊最為常見的入口,云計算、萬物互聯(lián)和移動辦公,更是令傳統(tǒng)的網(wǎng)絡邊界防護手段失效。網(wǎng)絡安全范式轉(zhuǎn)換的時代已來臨,在萬物互聯(lián)的數(shù)字世界,人工智能決定著未來攻防對抗的此消彼長。
原文來源:數(shù)世咨詢