针对性攻击防御依赖云和人工智能分析


    目前,针对性攻击已经成为当下威胁企业安全的主要攻击方式之一。它们常常隐藏在安全系统所生成的大量警示之下,让攻击者有时间入侵企业系统,盗取宝贵的数据。
    而随着安全形势的不断演变,针对性攻击手段也开始发生变化。根据赛门铁克的统计报告显示,针对性攻击组织的数量在逐年增加,目前已经发现140个针对性攻击组织,比2016年增加了19个。
    针对性攻击的目标与动机
    对于针对性攻击,攻击者不再针对广泛的消费者、个人用户或普遍的企业进行攻击,而只针对某个企业发动攻击,这种黑客组织就叫针对性攻击组织。
    而针对性攻击组织的主要攻击流程,第一就是情报收集。黑客组织大部分工作其实就是先做情报收集,随后,才会选择对企业做破坏行动,最终目的还是要获取金钱及牟利。这些就是针对性攻击组织发动攻击的主要动机和目标。
    主要攻击手段
    针对性攻击最常用的方式是网络钓鱼,原因与人们的工作和生活方式有着密切关系。例如,我们手机在接收邮件时,只能看到邮件的名称,但看不到邮件的域名,这一点往往会被黑客所利用。因为邮件是企业员工在使用便携设备和智能终端时最常见的一个应用,同时也能接触到企业相关数据。所以,黑客很容易利用这些漏洞对企业数据进行攻击,而大量移动设备的使用和员工警惕性的放松,也是导致网络钓鱼成功率居高不下的重要原因之一。
    第二种常用的方式叫水坑式攻击。如果黑客组织想去攻击某一个目标企业,那么,他首先会去了解这个目标企业的员工平时都会访问什么类型的网站,甚至了解其上下游供应商的网站。黑客组织的思路和目标很简单,他们会选择企业信任或者经常访问的网站,尤其是允许员工访问的网站,一旦黑客无法直接攻击这个目标企业的主网站,那么,他们将会把企业员工经常访问的其他网站作为攻击的突破口。
    据统计,钓鱼和水坑式攻击方式加起来占针对性攻击总量的95%。但黑客去尝试攻击的时候,往往不是用一种方式,会同时运用多种方式发起攻击。因此,企业员工的安全意识对企业非常重要,企业应该及时对员工的安全意识进行培训。
    企业如何防范攻击
    现在很多企业在防范这类攻击或未知危险时会大量使用到沙盒产品和技术,还有异常检测等产品,这导致用户需要承担的任务非常庞大,大量的分析检测工作都需要企业自己来完成。这对于目前日益频繁和复杂的攻击而言,已经捉襟见肘。对此,赛门铁克公司华东及华南区技术经理王景普表示,这些工作完全可以搬到云端来完成,处理完成后再把结果反馈给企业,这也是赛门铁克提出高级威胁防御(ATP)解决方案的初衷。
    赛门铁克公司华东及华南区技术经理王景普
    另外,王景普表示,过去往往会孤立扫描一个文件是否存在问题,或者单看某一时间点或某一时间段内的网络流量,这个被称为单独扫描。但赛门铁克的检测和扫描会涉及到整个企业内部所有的活动,也就是终端上的活动和网络上的流量都可以进行分析。我们的分析工具放在云端,同时利用人工智能和机器学习的一些模型来进行分析。
    算法与样本缺一不可
    目前,很多企业都在做机器学习、人工智能的相关研发。王景普认为,如果输入的样本不够典型,样本覆盖面不够广、不够大,那么,机器学习出来的模型不一定会是最匹配业务的模型,同时输出的结果也必定不是最好的。因此,算法和输入数据的样本这两点非常关键,缺一不可。算法再好,但是没有样本,没有典型数据,数据输出结果一定不会好。当然即使有海量的数据,没有好的算法,那可能要花很多年才能计算出来,也是不现实的。
    而融入人工智能的优势就在于可以利用全球数亿控制点和庞大的客户群所建立起的庞大分析样本,相比单一客户分析来讲这是非常大的突破,所以分析效果也会更加精准。
    在分析过程中,首先要收集数据,从广度来讲,赛门铁克在全球保护了1.75亿个终端,有八千万代理端点,针对端点流量、电子邮件,在全球有9500万个传感器,还有诱饵邮箱,从而能在全球收集广泛的数据。除了收集的数据,企业里面端点上的进程、系统事件也会进行收集。再加上不同的行业,不同的客户,不同类型的设备、机器,通过这些形成的数据来源。
    王景普表示,在收集事件的时候,第一,我们不会对用户的终端产生影响;第二,也不会导致它跟端点上任何其他软件或者系统产生冲突;第三,我们还会确保匿名性,不会涉及到企业机密相关信息的收集。我们还将云端核心端点的分析引擎也做了一些变化,来达到既确保用户系统的性能,又能够保护隐私的这样一种平衡。
    安全防护依赖云端
    王景普强调,未来针对性网络攻击的防护能力将主要依赖于云端。根据预测,未来不仅我们会大量运用人工智能、机器学习等技术。同样,黑客也会利用人工智能和高级机器学习等手段发动攻击,这样就形成了一种竞赛模式。那么,我们在用机器学习、人工智能的步伐上能不能跟上黑客的攻击步伐就成为关键。
    对于安全厂商而言,未来监测范围、数据量以及分析引擎的响应时间将成为其主要的核心竞争力。目前,赛门铁克把整套系统已从自己的数据中心全部迁移到云端,并在高级威胁防御(ATP)解决方案中推出针对性攻击分析(TAA)技术,以此帮助企业用户应对相应攻击威胁,这是因为只有云计算的超大计算能力与大数据分析平台的结合,才能更好的应对未来复杂的针对性攻击威胁。