莊敬賢
思科大中華區副總裁,安全業(yè)務(wù)總經(jīng)理
回顧2017年的全球安全態(tài)勢,惡意軟件的演變是最重要的攻擊動(dòng)態(tài)之一。基于網(wǎng)絡(luò )的勒索軟件蠕蟲(chóng),毀滅性供應鏈攻擊,偽裝成勒索軟件的破壞性擦除程序惡意軟件——惡意軟件類(lèi)型和系列的數量與種類(lèi)不斷增多,這大大削弱了防御者為掌控威脅而付出的努力,造成其長(cháng)期處于混亂狀態(tài)。但是,防御者不應陷入攻擊者日常沖突所帶來(lái)的混亂,以致無(wú)法注意到危機即將來(lái)臨時(shí)的明顯跡象。我們建議客戶(hù)要密切關(guān)注全球各大地區的安全形勢變化,與時(shí)俱進(jìn),采用自動(dòng)化水平更高的高級工具(如機器學(xué)習和人工智能),對威脅防御、檢測和補救進(jìn)行補充,不斷完善防御體系。
基于思科2018年度網(wǎng)絡(luò )安全報告(ACR)對于過(guò)去12-18個(gè)月內全球威脅情報和網(wǎng)絡(luò )安全趨勢的豐富研究成果,我想與大家分享以下三點(diǎn)重要的觀(guān)察,以說(shuō)明人工智能和機器學(xué)習技術(shù)對于當今威脅防御的重要性:
1、攻擊者將惡意軟件的復雜性和影響力提升到前所未有的程度
各類(lèi)惡意軟件和惡意軟件家族規模和種類(lèi)不斷增長(cháng),眾多攻擊者越來(lái)越善于隱藏其惡意攻擊活動(dòng)。正如思科研究人員所預測的那樣,攻擊者在2017年將惡意軟件提升到了新的水平。基于網(wǎng)絡(luò )的勒索軟件蠕蟲(chóng)在發(fā)起勒索軟件活動(dòng)時(shí)不再需要人為參與。更糟糕的是還有像Nyetya這種偽裝成勒索軟件的擦除程序惡意軟件,它們專(zhuān)門(mén)設計用來(lái)刪除系統和數據。Nyetya攻擊活動(dòng)也是供應鏈攻擊,這是我們的研究人員在2017年觀(guān)察到的眾多攻擊形式之一。供應鏈攻擊可以迅速影響計算機,規模大且速度快,并且會(huì )持續數月甚至數年。
2、不斷增長(cháng)的加密惡意網(wǎng)絡(luò )流量成為防御者絕不可忽視的盲點(diǎn)
思科? 2018年度網(wǎng)絡(luò )安全報告(ACR)指出,截止2017年10月,加密流量在全球網(wǎng)絡(luò )流量中所占的比例已達到50%,相較于2016年11月,加密網(wǎng)絡(luò )流量增長(cháng)了12個(gè)百分點(diǎn)。隨著(zhù)這一數量的增長(cháng),攻擊者似乎正在更多地使用加密技術(shù),作為隱藏其命令與控制活動(dòng)的工具。我們的研究人員發(fā)現,在12個(gè)月內,檢測到的惡意軟件樣本所使用的加密網(wǎng)絡(luò )通信增加了三倍;截至2017年10月,在我們分析的40多萬(wàn)個(gè)惡意二進(jìn)制文件中,大約有70%至少使用過(guò)某種加密。盡管加密技術(shù)有益于提高安全性,但攻擊者采用加密來(lái)隱藏命令并控制活動(dòng),使得加密流量為惡意軟件的傳輸和控制提供了可乘之機。作為勒索軟件攻破網(wǎng)絡(luò )抵御的重要入口,加密流量體量的大量增加,讓防護者很難識別、監控出潛在的安全威脅。
3、防御者對自動(dòng)化和人工智能的依賴(lài)程度提升
鑒于惡意軟件將通信隱藏在加密網(wǎng)絡(luò )流量之內,以及網(wǎng)絡(luò )內部的惡意人員利用企業(yè)云系統發(fā)送敏感數據,安全團隊需采用有效的工具來(lái)防止或檢測使用加密技術(shù)隱藏的惡意攻擊活動(dòng)。鑒于此,越來(lái)越多的企業(yè)探索使用機器學(xué)習和人工智能。這些高級功能可以學(xué)習在大量加密網(wǎng)絡(luò )流量中識別異常模式,并在需要時(shí)自動(dòng)提醒安全團隊進(jìn)行深入調查。
首席信息安全官 (CISO)接受了思科2018安全能力基準研究采訪(fǎng),在報告中表示,他們迫切需要增加可使用人工智能和機器學(xué)習的工具,并認為他們的安全基礎設施越來(lái)越復雜化和智能化。但此類(lèi)系統生成的大量誤報也讓他們感到沮喪,因為誤報增加了安全團隊的工作量。隨著(zhù)機器學(xué)習和人工智能技術(shù)的成熟,并了解到他們所監視的網(wǎng)絡(luò )環(huán)境中哪些是“正常”活動(dòng),這些擔憂(yōu)逐漸減少。
緊扣三大威脅態(tài)勢 思科安全應對之道 —— AI革新集成防御
面對日益升級的勒索軟件威脅,不斷增長(cháng)的加密流量規模,思科將機器學(xué)習、人工智能應用到安全領(lǐng)域,打造深度學(xué)習感知、智能協(xié)作的創(chuàng )新安全架構,最終為客戶(hù)提供有效的安全。
值得關(guān)注的是,思科Stealthwatch加密流量分析技術(shù)可以在無(wú)需對加密流量進(jìn)行解密的情況,運用網(wǎng)絡(luò )感知分析方法,識別隱藏在加密流量中的惡意軟件。該系統針對加密流量?jì)炔康脑獢祿M(jìn)行機器學(xué)習算法分析,準確定位加密流量中的惡意模式,實(shí)現更快更精確的判斷,幫助企業(yè)快速確定可能受到感染的設備和用戶(hù),最終提升企業(yè)面對安全事件時(shí)的響應速度和水平,準確率超過(guò)99.99%。憑借加密流量分析技術(shù),思科已經(jīng)成功解決了安全行業(yè)所面臨的最艱巨的挑戰,使安全團隊能夠兼顧安全與隱私,并且顯著(zhù)降低成本。目前,Stealthwatch已經(jīng)在全球眾多客戶(hù)端實(shí)施,成功地幫助企業(yè)提升高級安全威脅檢測和調查能力,豐富安全合規檢查的技術(shù)手段,加強網(wǎng)絡(luò )和應用的性能可視化分析監控,全面提高可視化能力和事件響應能力。
思科深知,只有將機器學(xué)習和人工智能應用到安全防御之中,才能不僅通過(guò)已知的威脅來(lái)尋找同類(lèi)威脅,更能通過(guò)已知的威脅去發(fā)現未知的威脅,甚至通過(guò)分析未知的威脅數據來(lái)尋找未知的威脅。另一個(gè)值得分享的應用是利用機器學(xué)習技術(shù)檢測可能存在的內部威脅——思科威脅研究人員對于34個(gè)國家的15萬(wàn)用戶(hù)呈現的數據泄露趨勢進(jìn)行了研究,其所采用的算法不僅記錄了用戶(hù)下載文件的容量,也充分考慮了其他變量,如:下載的具體時(shí)間,IP地址,地點(diǎn)。在1.5個(gè)月中,這個(gè)由機器學(xué)習技術(shù)驅動(dòng)的算法對于每個(gè)用戶(hù)的異常行為進(jìn)行了研究,標記的可疑下載用戶(hù)占0.5個(gè)百分點(diǎn)。這個(gè)數目雖然不大,但這些用戶(hù)在1個(gè)半月內總共從企業(yè)云系統上下載超過(guò)390萬(wàn)份文檔,平均每位用戶(hù)下載5200份文檔。其中,62%的可疑下載發(fā)生在正常工作時(shí)間之外,40%發(fā)生在周末。機器學(xué)習算法有希望對云和用戶(hù)行為提供更高的可視性。如果防御者能夠在下載方面預測用戶(hù)行為,則可節省花在調查合法行為上的時(shí)間,還可以介入阻止潛在攻擊或發(fā)生數據泄露事件。
作為網(wǎng)絡(luò )和安全領(lǐng)域的行業(yè)領(lǐng)導者,思科擁有得天獨厚的優(yōu)勢,不斷為客戶(hù)推出更強大的端到端的可視性與安全性。
- 思科擁有非常廣泛的覆蓋不同安全領(lǐng)域的產(chǎn)品和解決方案,這背后是強大的技術(shù)支撐;同時(shí),思科利用多個(gè)最有效的單點(diǎn)產(chǎn)品,強力打造彼此間的聯(lián)防、互聯(lián)、協(xié)作,最終為用戶(hù)呈現的是集成式的防御架構。
- 思科不僅通過(guò)人工智能打造了業(yè)界獨一無(wú)二的加密流量分析技術(shù),使得網(wǎng)絡(luò )變得更加強大;而且將人工智能和機器學(xué)習技術(shù)廣泛應用到集成防御體系的革新之中,幫助防御者克服技能和資源上的差距,讓他們更有效地識別和應對已知和新興的威脅。
- 思科將全球領(lǐng)先的技術(shù)成果和實(shí)戰經(jīng)驗引入中國市場(chǎng),幫助中國客戶(hù)構建簡(jiǎn)單、開(kāi)放、自動(dòng)化且真正有效的安全防御體系,從而能夠安全地把握全數字化轉型所造就的新機遇。
思科公司簡(jiǎn)介
思科(NASDAQ:CSCO)是全球科技領(lǐng)導廠(chǎng)商,自1984年起就專(zhuān)注于成就互聯(lián)網(wǎng)。我們的人才、產(chǎn)品和合作伙伴都致力于幫助社會(huì )實(shí)現安全互聯(lián),并且把握未來(lái)的數字化機遇。
