針對性攻擊防御人工智能分析：算法與樣本缺一不可

時間：2020-07-28 14:36:01

關鍵字：人工智能機器學習

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀] 目前，針對性攻擊已經成為當下威脅企業(yè)安全的主要攻擊方式之一。它們常常隱藏在安全系統(tǒng)所生成的大量警示之下，讓攻擊者有時間入侵企業(yè)系統(tǒng)，盜取寶貴的數(shù)據(jù)。而隨著安全形勢的不斷演變，

目前，針對性攻擊已經成為當下威脅企業(yè)安全的主要攻擊方式之一。它們常常隱藏在安全系統(tǒng)所生成的大量警示之下，讓攻擊者有時間入侵企業(yè)系統(tǒng)，盜取寶貴的數(shù)據(jù)。

而隨著安全形勢的不斷演變，針對性攻擊手段也開始發(fā)生變化。根據(jù)賽門鐵克的統(tǒng)計報告顯示，針對性攻擊組織的數(shù)量在逐年增加，目前已經發(fā)現(xiàn)140個針對性攻擊組織，比2016年增加了19個。

針對性攻擊的目標與動機

對于針對性攻擊，攻擊者不再針對廣泛的消費者、個人用戶或普遍的企業(yè)進行攻擊，而只針對某個企業(yè)發(fā)動攻擊，這種黑客組織就叫針對性攻擊組織。

而針對性攻擊組織的主要攻擊流程，第一就是情報收集。黑客組織大部分工作其實就是先做情報收集，隨后，才會選擇對企業(yè)做破壞行動，最終目的還是要獲取金錢及牟利。這些就是針對性攻擊組織發(fā)動攻擊的主要動機和目標。

主要攻擊手段

針對性攻擊最常用的方式是網絡釣魚，原因與人們的工作和生活方式有著密切關系。例如，我們手機在接收郵件時，只能看到郵件的名稱，但看不到郵件的域名，這一點往往會被黑客所利用。因為郵件是企業(yè)員工在使用便攜設備和智能終端時最常見的一個應用，同時也能接觸到企業(yè)相關數(shù)據(jù)。所以，黑客很容易利用這些漏洞對企業(yè)數(shù)據(jù)進行攻擊，而大量移動設備的使用和員工警惕性的放松，也是導致網絡釣魚成功率居高不下的重要原因之一。

第二種常用的方式叫水坑式攻擊。如果黑客組織想去攻擊某一個目標企業(yè)，那么，他首先會去了解這個目標企業(yè)的員工平時都會訪問什么類型的網站，甚至了解其上下游供應商的網站。黑客組織的思路和目標很簡單，他們會選擇企業(yè)信任或者經常訪問的網站，尤其是允許員工訪問的網站，一旦黑客無法直接攻擊這個目標企業(yè)的主網站，那么，他們將會把企業(yè)員工經常訪問的其他網站作為攻擊的突破口。

據(jù)統(tǒng)計，釣魚和水坑式攻擊方式加起來占針對性攻擊總量的95％。但黑客去嘗試攻擊的時候，往往不是用一種方式，會同時運用多種方式發(fā)起攻擊。因此，企業(yè)員工的安全意識對企業(yè)非常重要，企業(yè)應該及時對員工的安全意識進行培訓。

企業(yè)如何防范攻擊

現(xiàn)在很多企業(yè)在防范這類攻擊或未知危險時會大量使用到沙盒產品和技術，還有異常檢測等產品，這導致用戶需要承擔的任務非常龐大，大量的分析檢測工作都需要企業(yè)自己來完成。這對于目前日益頻繁和復雜的攻擊而言，已經捉襟見肘。對此，賽門鐵克公司華東及華南區(qū)技術經理王景普表示，這些工作完全可以搬到云端來完成，處理完成后再把結果反饋給企業(yè)，這也是賽門鐵克提出高級威脅防御（ATP）解決方案的初衷。

賽門鐵克公司華東及華南區(qū)技術經理王景普

另外，王景普表示，過去往往會孤立掃描一個文件是否存在問題，或者單看某一時間點或某一時間段內的網絡流量，這個被稱為單獨掃描。但賽門鐵克的檢測和掃描會涉及到整個企業(yè)內部所有的活動，也就是終端上的活動和網絡上的流量都可以進行分析。我們的分析工具放在云端，同時利用人工智能和機器學習的一些模型來進行分析。

算法與樣本缺一不可

目前，很多企業(yè)都在做機器學習、人工智能的相關研發(fā)。王景普認為，如果輸入的樣本不夠典型，樣本覆蓋面不夠廣、不夠大，那么，機器學習出來的模型不一定會是最匹配業(yè)務的模型，同時輸出的結果也必定不是最好的。因此，算法和輸入數(shù)據(jù)的樣本這兩點非常關鍵，缺一不可。算法再好，但是沒有樣本，沒有典型數(shù)據(jù)，數(shù)據(jù)輸出結果一定不會好。當然即使有海量的數(shù)據(jù)，沒有好的算法，那可能要花很多年才能計算出來，也是不現(xiàn)實的。

而融入人工智能的優(yōu)勢就在于可以利用全球數(shù)億控制點和龐大的客戶群所建立起的龐大分析樣本，相比單一客戶分析來講這是非常大的突破，所以分析效果也會更加精準。

在分析過程中，首先要收集數(shù)據(jù)，從廣度來講，賽門鐵克在全球保護了1．75億個終端，有八千萬代理端點，針對端點流量、電子郵件，在全球有9500萬個傳感器，還有誘餌郵箱，從而能在全球收集廣泛的數(shù)據(jù)。除了收集的數(shù)據(jù)，企業(yè)里面端點上的進程、系統(tǒng)事件也會進行收集。再加上不同的行業(yè)，不同的客戶，不同類型的設備、機器，通過這些形成的數(shù)據(jù)來源。

王景普表示，在收集事件的時候，第一，我們不會對用戶的終端產生影響；第二，也不會導致它跟端點上任何其他軟件或者系統(tǒng)產生沖突；第三，我們還會確保匿名性，不會涉及到企業(yè)機密相關信息的收集。我們還將云端核心端點的分析引擎也做了一些變化，來達到既確保用戶系統(tǒng)的性能，又能夠保護隱私的這樣一種平衡。

安全防護依賴云端

王景普強調，未來針對性網絡攻擊的防護能力將主要依賴于云端。根據(jù)預測，未來不僅我們會大量運用人工智能、機器學習等技術。同樣，黑客也會利用人工智能和高級機器學習等手段發(fā)動攻擊，這樣就形成了一種競賽模式。那么，我們在用機器學習、人工智能的步伐上能不能跟上黑客的攻擊步伐就成為關鍵。

對于安全廠商而言，未來監(jiān)測范圍、數(shù)據(jù)量以及分析引擎的響應時間將成為其主要的核心競爭力。目前，賽門鐵克把整套系統(tǒng)已從自己的數(shù)據(jù)中心全部遷移到云端，并在高級威脅防御（ATP）解決方案中推出針對性攻擊分析（TAA）技術，以此幫助企業(yè)用戶應對相應攻擊威脅，這是因為只有云計算的超大計算能力與大數(shù)據(jù)分析平臺的結合，才能更好的應對未來復雜的針對性攻擊威脅。