狙擊步槍到機關(guān)槍的轉(zhuǎn)變,反映了這些勒索病毒的一個相同點:都采用了自動化生成技術(shù)。而伴隨著AI技術(shù)的發(fā)展,病毒攻擊的未來的趨勢是它們數(shù)量和樣式會更多��、傳染更快�����、破壞力更強�����。
如果說早期的勒索軟件是由人來編,在重新變化它的組織、操作與數(shù)據(jù)流后,導致原來的檢測失效�����。
那現(xiàn)在就可以通過AI自動化技術(shù)自動生成惡意代碼,它可以通過大量的數(shù)據(jù)和樣本來機器學習惡意代碼的運作方式,進而導致新病毒的產(chǎn)生呈現(xiàn)出指數(shù)級的增加���。
通過AI的自動化技術(shù)生成新的惡意代碼,攻擊方有了新的火力支持,狙擊槍進化成了自動化機關(guān)槍,在這個過程中防御方將要面臨更高的安全風險,防御端檢測面臨的挑戰(zhàn)也就更大了�����。
3�����、攻防升維
安全領(lǐng)域強調(diào)的是攻防對抗,當攻擊方的能力增強之后,壓力就轉(zhuǎn)移到了防守方上��。
攻是單點突破,找到一個點,并通過這個點滲入進去挖開他的防守體系,進而拿到內(nèi)部網(wǎng)絡(luò)更多的東西��。
而防則不一樣,防講的是縱深防御,是面的問題更是點的問題,從面上講,企業(yè)要全面去防;從點上來說,企業(yè)的安全防護就要做深做細,以前安全業(yè)內(nèi)一直在講木桶原理,指的是企業(yè)的安全體系是一個木桶,安全防護體系中如果有短板,如同水會從短板的地方流出來,攻擊方也會從短板的地方侵入�����。
以勒索病毒為例,深信服安全專家鄒榮新給我們分享了一個小故事:“WannaCry爆發(fā)時,我這邊成立了安全應(yīng)急團隊,大概十個人左右的一個團隊,我們從客戶那邊觀察到,以前客戶里頭他一臺機器出了問題,那就你的這臺機器出問題,大不了把你機器重裝就完了,現(xiàn)在病毒一進來以后,它會快速蔓延,可能在幾分鐘之內(nèi)你的幾百臺�、上千臺機器就全部中招了�?���!?/p>
永恒之藍利用微軟的MS17010漏洞,攻擊性之強覆蓋面之廣甚至可以讓一個公司的全部幾十臺服務(wù)器短時間內(nèi)全部被加影子賬號�����。黑客利用美國NSA公布的信息來謀利����、做破壞性的工作,這是之前所沒有的變化。
4����、如何應(yīng)對?傳統(tǒng)特征殺毒的無力。
傳統(tǒng)特征殺毒是基于病毒特征庫方式進行殺毒,在面對新型病毒或變種持續(xù)產(chǎn)生的情況下,往往呈現(xiàn)被動�、后知后覺的特點,缺乏快速響應(yīng)機制。
另一方面,由于本地病毒特征庫是有限的,當特征庫與已知病毒樣本不匹配時,查殺就會受限,這點在企業(yè)隔離網(wǎng)環(huán)境下失去云端查殺能力時表現(xiàn)得尤其突出�����。此外,由于特征數(shù)量不斷增多,特征殺毒會加重終端資源以及運算成本�。
最后,由于未實現(xiàn)一體化防護,會導致企業(yè)的管理運維量巨大�。
攻擊方可以用AI的技術(shù)來提升它的工具,提升它的效率,減少它的攻擊代價。而攻防本身講究的是個代價的問題,攻方究竟愿意用多少的資源來攻破一個目標,攻破過后能獲得多少利益,那防御,則是企業(yè)愿意投入多少資源來防御到什么樣的程度���。
以往,大型企業(yè)可以投入巨額的資金來請業(yè)內(nèi)的安全專家來進行人力的安全緊急響應(yīng),但是現(xiàn)在面對動輒有幾棟樓之多的服務(wù)器,通過人力進行應(yīng)急顯然已經(jīng)不再現(xiàn)實��。
而對中小企業(yè)來說,就更難以承擔高昂的安全維護成本��。在這樣的情況下,將預(yù)算放到端的檢測和響應(yīng)上,無論從效果還是花銷上來看,都是更為明智的選擇�。
基于端的檢測和響應(yīng)來構(gòu)建一個安全防護體系;通過云網(wǎng)端的融合做到點面結(jié)合來縱深防御;通過一個統(tǒng)一的管理平臺來進行統(tǒng)一的安全管理;通過采用AI技術(shù)來應(yīng)對自動化攻擊;這些,就成為了應(yīng)對攻方升級的不二法門���。
5��、技能進化:深信服新一代終端安全EDR和它的SAVE引擎
為了應(yīng)對進化后的攻擊方,作為防御方也應(yīng)該完成它的進化���。
對此,深信服提出了新的安全理念:面向未來,有效保護��。面向未來,有效保護就是以明晰過去和現(xiàn)在的威脅和挑戰(zhàn)為基礎(chǔ),預(yù)測未來趨勢,并通過技能進化和智力進化提升預(yù)測��、防御����、檢測��、響應(yīng)能力,持續(xù)應(yīng)對新的風險和挑戰(zhàn),保障信息資產(chǎn)的保密性、完整性�、可用性達到預(yù)期要求。
同時,基于“面向未來,有效保護”的安全理念,深信服也提出了新的安全架構(gòu),該架構(gòu)的核心是“進化”——以“技能進化”和“智力進化”,持續(xù)提升保護的有效性����。
技能進化就是從安全建設(shè)”以防御能力為核心”進化到“以檢測能力為核心”���。
反映到具體的端點上,則是深信服基于傳統(tǒng)端點檢測和響應(yīng)EDR的進化,打造的下一代終端安全EDR�����。
EDR本身是一個很早就有的安全解決方案。但深信服通過在技能進化上具有里程碑意義的SAVE安全智能檢測引擎,完成了創(chuàng)新�。
SAVE安全智能檢測引擎使用了創(chuàng)新的人工智能無特征技術(shù),能夠進行算法的自我優(yōu)化、特性的自動提取,相比傳統(tǒng)使用固定算法���、人工提取特征的傳統(tǒng)檢測引擎來講更具優(yōu)勢,能夠?qū)账鞑《咀兎N及其他未知病毒進行準確檢測�。
通過SAVE引擎,深信服新一代終端安全EDR,對未知病毒檢出率高達97.8%,對已知病毒檢出率高于99%,對與之前肆虐的Globelmposter勒索病毒,查殺成功率更是達到了100%。
SAVR引擎的背后是深信服每年行業(yè)內(nèi)無出其右的研發(fā)投入(每年投入利潤的20%以上)、由博士和博士后科研團隊所組成的創(chuàng)新研究院在應(yīng)對挑戰(zhàn)時的勇于創(chuàng)新與堅守�、和安全團隊十多年來積累的豐富行業(yè)經(jīng)驗與安全知識庫。
在數(shù)據(jù)方面,憑借著多年在企業(yè)領(lǐng)域安全防護的實戰(zhàn)經(jīng)驗,深信服獲得了大量的真實威脅數(shù)據(jù)信息尤其是企業(yè)所面臨的惡意代碼���、惡意流量數(shù)據(jù),為了進一步擴充數(shù)據(jù)的樣本量,深信服也與諸如谷歌等公司合作,進行數(shù)據(jù)導入,提高辨別準確度。
在算法方面,深信服數(shù)據(jù)解析的角度也有創(chuàng)新之處,它更多的去從安全防護比如勒索軟件的角度進行解構(gòu),然后再去嘗試各種各樣的算法�����。
通過人工智能賦予用戶以持續(xù)進化的預(yù)警��、防御、檢測與響應(yīng)能力,方能以不變應(yīng)萬變,在不同的場景中進化出不同的模式來應(yīng)對威脅�����。
深信服通過AI技術(shù)打造了新一代終端安全EDR,又輔以了與網(wǎng)、云的結(jié)合���。
深信服安全云腦作為威脅情報搜集和響應(yīng)的中心,當發(fā)現(xiàn)到威脅情報后會第一時間推送給深信服新一代終端安全EDR與深信服新一代防火墻AF��、安全感知平臺SIP��、上網(wǎng)行為管理AC等網(wǎng)絡(luò)安全管理����。
如果把深信服新一代終端安全EDR比作點的話,那么深信服新一代防火墻NGAF、安全感知平臺SIP���、上網(wǎng)行為管理AC就是面,通過點與面結(jié)合方能打造了一個完整的企業(yè)安全防護體系。深信服新一代終端安全EDR補齊的就是企業(yè)安全防護體系這個木桶的最后一塊短板�。
通過對云、網(wǎng)�����、端的融合,結(jié)合了EDR的全網(wǎng)安全設(shè)備聯(lián)動機制是一整套的云管端閉環(huán)系統(tǒng),解決了傳統(tǒng)安全防護的體系弱點和能力缺失,可以高效實現(xiàn)病毒防護����、具有對已/未知威脅的準確檢測與發(fā)現(xiàn)、快速響應(yīng)等功能�。
而基于Agent加管理平臺的部署模式,還可輕松實現(xiàn)資產(chǎn)盤點�����、合規(guī)審查,以及基于應(yīng)用角色的微隔離防護和流量可視化管理等功能,讓企業(yè)的管理管理能力足以應(yīng)對新的威脅�。
面向未來,有效守護!深信服新一代安全EDR將秉承深信服的安全理念���。在寒夜來臨之時,做企業(yè)安全的忠實衛(wèi)士���。
