狙擊步槍到機關槍的轉變,反映了這些勒索病毒的一個相同點:都采用了自動化生成技術�。而伴隨著AI技術的發(fā)展,病毒攻擊的未來的趨勢是它們數量和樣式會更多����、傳染更快��、破壞力更強�����。
如果說早期的勒索軟件是由人來編,在重新變化它的組織�、操作與數據流后,導致原來的檢測失效�。
那現在就可以通過AI自動化技術自動生成惡意代碼,它可以通過大量的數據和樣本來機器學習惡意代碼的運作方式,進而導致新病毒的產生呈現出指數級的增加��。
通過AI的自動化技術生成新的惡意代碼,攻擊方有了新的火力支持,狙擊槍進化成了自動化機關槍,在這個過程中防御方將要面臨更高的安全風險,防御端檢測面臨的挑戰(zhàn)也就更大了���。
3、攻防升維
安全領域強調的是攻防對抗,當攻擊方的能力增強之后,壓力就轉移到了防守方上��。
攻是單點突破,找到一個點,并通過這個點滲入進去挖開他的防守體系,進而拿到內部網絡更多的東西。
而防則不一樣,防講的是縱深防御,是面的問題更是點的問題,從面上講,企業(yè)要全面去防;從點上來說,企業(yè)的安全防護就要做深做細,以前安全業(yè)內一直在講木桶原理,指的是企業(yè)的安全體系是一個木桶,安全防護體系中如果有短板,如同水會從短板的地方流出來,攻擊方也會從短板的地方侵入�����。
以勒索病毒為例,深信服安全專家鄒榮新給我們分享了一個小故事:“WannaCry爆發(fā)時,我這邊成立了安全應急團隊,大概十個人左右的一個團隊,我們從客戶那邊觀察到,以前客戶里頭他一臺機器出了問題,那就你的這臺機器出問題,大不了把你機器重裝就完了,現在病毒一進來以后,它會快速蔓延,可能在幾分鐘之內你的幾百臺、上千臺機器就全部中招了��?���!?/p>
永恒之藍利用微軟的MS17010漏洞,攻擊性之強覆蓋面之廣甚至可以讓一個公司的全部幾十臺服務器短時間內全部被加影子賬號�。黑客利用美國NSA公布的信息來謀利、做破壞性的工作,這是之前所沒有的變化����。
4、如何應對?傳統特征殺毒的無力�。
傳統特征殺毒是基于病毒特征庫方式進行殺毒,在面對新型病毒或變種持續(xù)產生的情況下,往往呈現被動、后知后覺的特點,缺乏快速響應機制�����。
另一方面,由于本地病毒特征庫是有限的,當特征庫與已知病毒樣本不匹配時,查殺就會受限,這點在企業(yè)隔離網環(huán)境下失去云端查殺能力時表現得尤其突出。此外,由于特征數量不斷增多,特征殺毒會加重終端資源以及運算成本�����。
最后,由于未實現一體化防護,會導致企業(yè)的管理運維量巨大��。
攻擊方可以用AI的技術來提升它的工具,提升它的效率,減少它的攻擊代價��。而攻防本身講究的是個代價的問題,攻方究竟愿意用多少的資源來攻破一個目標,攻破過后能獲得多少利益,那防御,則是企業(yè)愿意投入多少資源來防御到什么樣的程度����。
以往,大型企業(yè)可以投入巨額的資金來請業(yè)內的安全專家來進行人力的安全緊急響應,但是現在面對動輒有幾棟樓之多的服務器,通過人力進行應急顯然已經不再現實。
而對中小企業(yè)來說,就更難以承擔高昂的安全維護成本��。在這樣的情況下,將預算放到端的檢測和響應上,無論從效果還是花銷上來看,都是更為明智的選擇�����。
基于端的檢測和響應來構建一個安全防護體系;通過云網端的融合做到點面結合來縱深防御;通過一個統一的管理平臺來進行統一的安全管理;通過采用AI技術來應對自動化攻擊;這些,就成為了應對攻方升級的不二法門�����。
5����、技能進化:深信服新一代終端安全EDR和它的SAVE引擎
為了應對進化后的攻擊方,作為防御方也應該完成它的進化。
對此,深信服提出了新的安全理念:面向未來,有效保護���。面向未來,有效保護就是以明晰過去和現在的威脅和挑戰(zhàn)為基礎,預測未來趨勢,并通過技能進化和智力進化提升預測����、防御��、檢測���、響應能力,持續(xù)應對新的風險和挑戰(zhàn),保障信息資產的保密性����、完整性���、可用性達到預期要求�����。
同時,基于“面向未來,有效保護”的安全理念,深信服也提出了新的安全架構,該架構的核心是“進化”——以“技能進化”和“智力進化”,持續(xù)提升保護的有效性�。
技能進化就是從安全建設”以防御能力為核心”進化到“以檢測能力為核心”����。
反映到具體的端點上,則是深信服基于傳統端點檢測和響應EDR的進化,打造的下一代終端安全EDR�。
EDR本身是一個很早就有的安全解決方案����。但深信服通過在技能進化上具有里程碑意義的SAVE安全智能檢測引擎,完成了創(chuàng)新。
SAVE安全智能檢測引擎使用了創(chuàng)新的人工智能無特征技術,能夠進行算法的自我優(yōu)化���、特性的自動提取,相比傳統使用固定算法�����、人工提取特征的傳統檢測引擎來講更具優(yōu)勢,能夠對勒索病毒變種及其他未知病毒進行準確檢測�。
通過SAVE引擎,深信服新一代終端安全EDR,對未知病毒檢出率高達97.8%,對已知病毒檢出率高于99%,對與之前肆虐的Globelmposter勒索病毒,查殺成功率更是達到了100%���。
SAVR引擎的背后是深信服每年行業(yè)內無出其右的研發(fā)投入(每年投入利潤的20%以上)���、由博士和博士后科研團隊所組成的創(chuàng)新研究院在應對挑戰(zhàn)時的勇于創(chuàng)新與堅守、和安全團隊十多年來積累的豐富行業(yè)經驗與安全知識庫�。
在數據方面,憑借著多年在企業(yè)領域安全防護的實戰(zhàn)經驗,深信服獲得了大量的真實威脅數據信息尤其是企業(yè)所面臨的惡意代碼、惡意流量數據,為了進一步擴充數據的樣本量,深信服也與諸如谷歌等公司合作,進行數據導入,提高辨別準確度�����。
在算法方面,深信服數據解析的角度也有創(chuàng)新之處,它更多的去從安全防護比如勒索軟件的角度進行解構,然后再去嘗試各種各樣的算法����。
通過人工智能賦予用戶以持續(xù)進化的預警、防御�����、檢測與響應能力,方能以不變應萬變,在不同的場景中進化出不同的模式來應對威脅�。
深信服通過AI技術打造了新一代終端安全EDR,又輔以了與網、云的結合���。
深信服安全云腦作為威脅情報搜集和響應的中心,當發(fā)現到威脅情報后會第一時間推送給深信服新一代終端安全EDR與深信服新一代防火墻AF����、安全感知平臺SIP���、上網行為管理AC等網絡安全管理����。
如果把深信服新一代終端安全EDR比作點的話,那么深信服新一代防火墻NGAF�����、安全感知平臺SIP����、上網行為管理AC就是面,通過點與面結合方能打造了一個完整的企業(yè)安全防護體系����。深信服新一代終端安全EDR補齊的就是企業(yè)安全防護體系這個木桶的最后一塊短板�。
通過對云、網�����、端的融合,結合了EDR的全網安全設備聯動機制是一整套的云管端閉環(huán)系統,解決了傳統安全防護的體系弱點和能力缺失,可以高效實現病毒防護�、具有對已/未知威脅的準確檢測與發(fā)現、快速響應等功能�。
而基于Agent加管理平臺的部署模式,還可輕松實現資產盤點、合規(guī)審查,以及基于應用角色的微隔離防護和流量可視化管理等功能,讓企業(yè)的管理管理能力足以應對新的威脅�����。
面向未來,有效守護!深信服新一代安全EDR將秉承深信服的安全理念���。在寒夜來臨之時,做企業(yè)安全的忠實衛(wèi)士����。
