狙擊步槍到機(jī)關(guān)槍的轉(zhuǎn)變,反映了這些勒索病毒的一個(gè)相同點(diǎn):都采用了自動(dòng)化生成技術(shù)���。而伴隨著AI技術(shù)的發(fā)展,病毒攻擊的未來(lái)的趨勢(shì)是它們數(shù)量和樣式會(huì)更多��、傳染更快�����、破壞力更強(qiáng)����。
如果說(shuō)早期的勒索軟件是由人來(lái)編,在重新變化它的組織、操作與數(shù)據(jù)流后,導(dǎo)致原來(lái)的檢測(cè)失效���。
那現(xiàn)在就可以通過(guò)AI自動(dòng)化技術(shù)自動(dòng)生成惡意代碼,它可以通過(guò)大量的數(shù)據(jù)和樣本來(lái)機(jī)器學(xué)習(xí)惡意代碼的運(yùn)作方式,進(jìn)而導(dǎo)致新病毒的產(chǎn)生呈現(xiàn)出指數(shù)級(jí)的增加����。
通過(guò)AI的自動(dòng)化技術(shù)生成新的惡意代碼,攻擊方有了新的火力支持,狙擊槍進(jìn)化成了自動(dòng)化機(jī)關(guān)槍,在這個(gè)過(guò)程中防御方將要面臨更高的安全風(fēng)險(xiǎn),防御端檢測(cè)面臨的挑戰(zhàn)也就更大了���。
3�、攻防升維
安全領(lǐng)域強(qiáng)調(diào)的是攻防對(duì)抗,當(dāng)攻擊方的能力增強(qiáng)之后,壓力就轉(zhuǎn)移到了防守方上��。
攻是單點(diǎn)突破,找到一個(gè)點(diǎn),并通過(guò)這個(gè)點(diǎn)滲入進(jìn)去挖開(kāi)他的防守體系,進(jìn)而拿到內(nèi)部網(wǎng)絡(luò)更多的東西��。
而防則不一樣,防講的是縱深防御,是面的問(wèn)題更是點(diǎn)的問(wèn)題,從面上講,企業(yè)要全面去防;從點(diǎn)上來(lái)說(shuō),企業(yè)的安全防護(hù)就要做深做細(xì),以前安全業(yè)內(nèi)一直在講木桶原理,指的是企業(yè)的安全體系是一個(gè)木桶,安全防護(hù)體系中如果有短板,如同水會(huì)從短板的地方流出來(lái),攻擊方也會(huì)從短板的地方侵入。
以勒索病毒為例,深信服安全專(zhuān)家鄒榮新給我們分享了一個(gè)小故事:“WannaCry爆發(fā)時(shí),我這邊成立了安全應(yīng)急團(tuán)隊(duì),大概十個(gè)人左右的一個(gè)團(tuán)隊(duì),我們從客戶那邊觀察到,以前客戶里頭他一臺(tái)機(jī)器出了問(wèn)題,那就你的這臺(tái)機(jī)器出問(wèn)題,大不了把你機(jī)器重裝就完了,現(xiàn)在病毒一進(jìn)來(lái)以后,它會(huì)快速蔓延,可能在幾分鐘之內(nèi)你的幾百臺(tái)��、上千臺(tái)機(jī)器就全部中招了����。”
永恒之藍(lán)利用微軟的MS17010漏洞,攻擊性之強(qiáng)覆蓋面之廣甚至可以讓一個(gè)公司的全部幾十臺(tái)服務(wù)器短時(shí)間內(nèi)全部被加影子賬號(hào)�。黑客利用美國(guó)NSA公布的信息來(lái)謀利、做破壞性的工作,這是之前所沒(méi)有的變化����。
4、如何應(yīng)對(duì)?傳統(tǒng)特征殺毒的無(wú)力��。
傳統(tǒng)特征殺毒是基于病毒特征庫(kù)方式進(jìn)行殺毒,在面對(duì)新型病毒或變種持續(xù)產(chǎn)生的情況下,往往呈現(xiàn)被動(dòng)����、后知后覺(jué)的特點(diǎn),缺乏快速響應(yīng)機(jī)制�。
另一方面,由于本地病毒特征庫(kù)是有限的,當(dāng)特征庫(kù)與已知病毒樣本不匹配時(shí),查殺就會(huì)受限,這點(diǎn)在企業(yè)隔離網(wǎng)環(huán)境下失去云端查殺能力時(shí)表現(xiàn)得尤其突出。此外,由于特征數(shù)量不斷增多,特征殺毒會(huì)加重終端資源以及運(yùn)算成本��。
最后,由于未實(shí)現(xiàn)一體化防護(hù),會(huì)導(dǎo)致企業(yè)的管理運(yùn)維量巨大���。
攻擊方可以用AI的技術(shù)來(lái)提升它的工具,提升它的效率,減少它的攻擊代價(jià)����。而攻防本身講究的是個(gè)代價(jià)的問(wèn)題,攻方究竟愿意用多少的資源來(lái)攻破一個(gè)目標(biāo),攻破過(guò)后能獲得多少利益,那防御,則是企業(yè)愿意投入多少資源來(lái)防御到什么樣的程度。
以往,大型企業(yè)可以投入巨額的資金來(lái)請(qǐng)業(yè)內(nèi)的安全專(zhuān)家來(lái)進(jìn)行人力的安全緊急響應(yīng),但是現(xiàn)在面對(duì)動(dòng)輒有幾棟樓之多的服務(wù)器,通過(guò)人力進(jìn)行應(yīng)急顯然已經(jīng)不再現(xiàn)實(shí)����。
而對(duì)中小企業(yè)來(lái)說(shuō),就更難以承擔(dān)高昂的安全維護(hù)成本。在這樣的情況下,將預(yù)算放到端的檢測(cè)和響應(yīng)上,無(wú)論從效果還是花銷(xiāo)上來(lái)看,都是更為明智的選擇�。
基于端的檢測(cè)和響應(yīng)來(lái)構(gòu)建一個(gè)安全防護(hù)體系;通過(guò)云網(wǎng)端的融合做到點(diǎn)面結(jié)合來(lái)縱深防御;通過(guò)一個(gè)統(tǒng)一的管理平臺(tái)來(lái)進(jìn)行統(tǒng)一的安全管理;通過(guò)采用AI技術(shù)來(lái)應(yīng)對(duì)自動(dòng)化攻擊;這些,就成為了應(yīng)對(duì)攻方升級(jí)的不二法門(mén)。
5�����、技能進(jìn)化:深信服新一代終端安全EDR和它的SAVE引擎
為了應(yīng)對(duì)進(jìn)化后的攻擊方,作為防御方也應(yīng)該完成它的進(jìn)化����。
對(duì)此,深信服提出了新的安全理念:面向未來(lái),有效保護(hù)。面向未來(lái),有效保護(hù)就是以明晰過(guò)去和現(xiàn)在的威脅和挑戰(zhàn)為基礎(chǔ),預(yù)測(cè)未來(lái)趨勢(shì),并通過(guò)技能進(jìn)化和智力進(jìn)化提升預(yù)測(cè)��、防御��、檢測(cè)��、響應(yīng)能力,持續(xù)應(yīng)對(duì)新的風(fēng)險(xiǎn)和挑戰(zhàn),保障信息資產(chǎn)的保密性�、完整性、可用性達(dá)到預(yù)期要求����。
同時(shí),基于“面向未來(lái),有效保護(hù)”的安全理念,深信服也提出了新的安全架構(gòu),該架構(gòu)的核心是“進(jìn)化”——以“技能進(jìn)化”和“智力進(jìn)化”,持續(xù)提升保護(hù)的有效性���。
技能進(jìn)化就是從安全建設(shè)”以防御能力為核心”進(jìn)化到“以檢測(cè)能力為核心”。
反映到具體的端點(diǎn)上,則是深信服基于傳統(tǒng)端點(diǎn)檢測(cè)和響應(yīng)EDR的進(jìn)化,打造的下一代終端安全EDR��。
EDR本身是一個(gè)很早就有的安全解決方案�����。但深信服通過(guò)在技能進(jìn)化上具有里程碑意義的SAVE安全智能檢測(cè)引擎,完成了創(chuàng)新����。
SAVE安全智能檢測(cè)引擎使用了創(chuàng)新的人工智能無(wú)特征技術(shù),能夠進(jìn)行算法的自我優(yōu)化、特性的自動(dòng)提取,相比傳統(tǒng)使用固定算法���、人工提取特征的傳統(tǒng)檢測(cè)引擎來(lái)講更具優(yōu)勢(shì),能夠?qū)账鞑《咀兎N及其他未知病毒進(jìn)行準(zhǔn)確檢測(cè)�。
通過(guò)SAVE引擎,深信服新一代終端安全EDR,對(duì)未知病毒檢出率高達(dá)97.8%,對(duì)已知病毒檢出率高于99%,對(duì)與之前肆虐的Globelmposter勒索病毒,查殺成功率更是達(dá)到了100%��。
SAVR引擎的背后是深信服每年行業(yè)內(nèi)無(wú)出其右的研發(fā)投入(每年投入利潤(rùn)的20%以上)�、由博士和博士后科研團(tuán)隊(duì)所組成的創(chuàng)新研究院在應(yīng)對(duì)挑戰(zhàn)時(shí)的勇于創(chuàng)新與堅(jiān)守��、和安全團(tuán)隊(duì)十多年來(lái)積累的豐富行業(yè)經(jīng)驗(yàn)與安全知識(shí)庫(kù)��。
在數(shù)據(jù)方面,憑借著多年在企業(yè)領(lǐng)域安全防護(hù)的實(shí)戰(zhàn)經(jīng)驗(yàn),深信服獲得了大量的真實(shí)威脅數(shù)據(jù)信息尤其是企業(yè)所面臨的惡意代碼、惡意流量數(shù)據(jù),為了進(jìn)一步擴(kuò)充數(shù)據(jù)的樣本量,深信服也與諸如谷歌等公司合作,進(jìn)行數(shù)據(jù)導(dǎo)入,提高辨別準(zhǔn)確度�。
在算法方面,深信服數(shù)據(jù)解析的角度也有創(chuàng)新之處,它更多的去從安全防護(hù)比如勒索軟件的角度進(jìn)行解構(gòu),然后再去嘗試各種各樣的算法。
通過(guò)人工智能賦予用戶以持續(xù)進(jìn)化的預(yù)警����、防御、檢測(cè)與響應(yīng)能力,方能以不變應(yīng)萬(wàn)變,在不同的場(chǎng)景中進(jìn)化出不同的模式來(lái)應(yīng)對(duì)威脅����。
深信服通過(guò)AI技術(shù)打造了新一代終端安全EDR,又輔以了與網(wǎng)、云的結(jié)合�����。
深信服安全云腦作為威脅情報(bào)搜集和響應(yīng)的中心,當(dāng)發(fā)現(xiàn)到威脅情報(bào)后會(huì)第一時(shí)間推送給深信服新一代終端安全EDR與深信服新一代防火墻AF����、安全感知平臺(tái)SIP、上網(wǎng)行為管理AC等網(wǎng)絡(luò)安全管理�����。
如果把深信服新一代終端安全EDR比作點(diǎn)的話,那么深信服新一代防火墻NGAF��、安全感知平臺(tái)SIP���、上網(wǎng)行為管理AC就是面,通過(guò)點(diǎn)與面結(jié)合方能打造了一個(gè)完整的企業(yè)安全防護(hù)體系�。深信服新一代終端安全EDR補(bǔ)齊的就是企業(yè)安全防護(hù)體系這個(gè)木桶的最后一塊短板。
通過(guò)對(duì)云����、網(wǎng)、端的融合,結(jié)合了EDR的全網(wǎng)安全設(shè)備聯(lián)動(dòng)機(jī)制是一整套的云管端閉環(huán)系統(tǒng),解決了傳統(tǒng)安全防護(hù)的體系弱點(diǎn)和能力缺失,可以高效實(shí)現(xiàn)病毒防護(hù)��、具有對(duì)已/未知威脅的準(zhǔn)確檢測(cè)與發(fā)現(xiàn)�����、快速響應(yīng)等功能��。
而基于Agent加管理平臺(tái)的部署模式,還可輕松實(shí)現(xiàn)資產(chǎn)盤(pán)點(diǎn)�、合規(guī)審查,以及基于應(yīng)用角色的微隔離防護(hù)和流量可視化管理等功能,讓企業(yè)的管理管理能力足以應(yīng)對(duì)新的威脅。
面向未來(lái),有效守護(hù)!深信服新一代安全EDR將秉承深信服的安全理念�����。在寒夜來(lái)臨之時(shí),做企業(yè)安全的忠實(shí)衛(wèi)士�。
