每年1.2億新惡意樣本:每次攻擊都是零日攻擊時代
責(zé)編:gltian |2019-05-06 13:43:45第一時間阻止惡意軟件如今仍只是個夢想。但自動化、人工智能和深度學(xué)習(xí)有望改變這一現(xiàn)狀。
黑客活動從根本上改變了網(wǎng)絡(luò)防御的游戲規(guī)則。今天,對手也在應(yīng)用自動化技術(shù)快速制造和發(fā)起大量新的攻擊,每一款惡意軟件如今都必須被當(dāng)成零日漏洞利用來考慮,每一次攻擊都必須當(dāng)成高級持續(xù)性威脅(APT)來對待。
這一點兒都沒夸張。AV-Test的研究顯示,2017年發(fā)現(xiàn)的新惡意軟件樣本數(shù)超過1.2億。相當(dāng)于每天33.3萬個新樣本,每分鐘230個新樣本,每秒鐘接近4個新惡意軟件樣本。
當(dāng)不斷變換的惡意軟件大規(guī)模涌現(xiàn)的時候,傳統(tǒng)防御很快就承受不住了。基于特征碼的檢測只對已知威脅有效。基于沙箱的檢測技術(shù)趕不上新惡意軟件的涌現(xiàn)速度,因為當(dāng)企業(yè)被從未見過的惡意軟件變種狂轟濫炸的時候,是沒有足夠的時間和資源去分析并識別攻擊特征的。
第一時間阻止惡意軟件攻擊如今仍然只是一個美好的夢想,所以以時間來衡量的成功就成為了標(biāo)準(zhǔn),但這個標(biāo)準(zhǔn)已經(jīng)被惡意軟件隱秘起效的本質(zhì)給沖擊得七零八落了。如果某個攻擊成功了一次,但是以后的99次攻擊都被阻止了,那這就是一個99%的防御成功率。但為了達(dá)到這99%的防御成功率,總有人要成為 “零號病人”。總有那么一個人要為團(tuán)隊擔(dān)下一次成功攻擊,以便從這初次攻擊收集到的情報能夠被共享并用于阻止后續(xù)攻擊。但當(dāng)攻擊是全球大規(guī)模爆發(fā)的時候,當(dāng)每年都有超過1.21億新惡意軟件樣本的時候,零號病人就絕對不只是一個了。不幸淪為零號病人之一肯定不是什么良好的體驗。
不過,自動化、人工智能和深度學(xué)習(xí)研發(fā)的進(jìn)展為安全帶來了希望的曙光。
深度學(xué)習(xí)是應(yīng)用人工神經(jīng)網(wǎng)絡(luò)進(jìn)行決策的一類機(jī)器學(xué)習(xí)。人工神經(jīng)網(wǎng)絡(luò)幾年前便已出現(xiàn),但最近處理性能的提升大大增強(qiáng)了其能力。同時,其底層技術(shù)的成本也下降了,深度學(xué)習(xí)應(yīng)用如今很多行業(yè)都能負(fù)擔(dān)得起,包括網(wǎng)絡(luò)安全行業(yè)。事實上,深度學(xué)習(xí)的功能非常適合處理網(wǎng)絡(luò)防御戰(zhàn)中遇到的諸多挑戰(zhàn)。
網(wǎng)絡(luò)安全基本上就是關(guān)于數(shù)據(jù)和模式的問題。威脅情報服務(wù)與多年來聚集的各類威脅數(shù)據(jù)存儲構(gòu)建了一個巨大的威脅數(shù)據(jù)池,可用于訓(xùn)練基于深度學(xué)習(xí)的防御。將該巨大的威脅數(shù)據(jù)即饋送進(jìn)神經(jīng)網(wǎng)絡(luò),深度學(xué)習(xí)就能學(xué)會識別惡意流量,即便攻擊是從未見過的全新攻擊。
這不僅僅是理論上的。深度學(xué)習(xí)已經(jīng)應(yīng)用在現(xiàn)場和云端的網(wǎng)絡(luò)入口點上,檢查早期客戶部署中的流量,并成功檢測和封鎖了前所未見的多態(tài)惡意軟件,包括Emotet變體。深度學(xué)習(xí)的底層架構(gòu)確保了威脅分析、判定和組織都發(fā)生在數(shù)秒之間,能夠?qū)崟r保障網(wǎng)絡(luò)不受惡意軟件侵害。
盡管尚處于早期階段,而且至今沒有任何獨立測試發(fā)布,但深度學(xué)習(xí)能夠取得巨大進(jìn)展幾乎是肯定的。在實驗室和貝塔測試環(huán)境中,深度學(xué)習(xí)不斷取得接近100%的威脅檢測率,檢測樣本囊括已知威脅和零日威脅,且結(jié)果與操作系統(tǒng)或應(yīng)用無關(guān)。
深度學(xué)習(xí)的安全意義十分重大,因為黑客已經(jīng)開發(fā)出能夠繞過或挫敗沙箱、特征碼之類傳統(tǒng)防御的技術(shù)。深度學(xué)習(xí)的威脅檢測結(jié)果表明,安全行業(yè)可能已經(jīng)走到了能夠遏制威脅升級的階段,網(wǎng)絡(luò)安全中傳統(tǒng)的見招拆招模式——黑客制造并投送新惡意軟件,安全供應(yīng)商識別新變種并發(fā)布其特征碼,然后黑客再創(chuàng)建更新的惡意軟件變種加以響應(yīng),有望邁向終結(jié)。
當(dāng)攻擊者意識到自己能夠運(yùn)用自動化技術(shù)快速產(chǎn)生并分發(fā)惡意軟件變種,令安全行業(yè)疲于應(yīng)付,他們以極高的熱情擁抱了這項新的能力。如果深度學(xué)習(xí)能夠給安全行業(yè)帶來回?fù)舻姆椒ǎ愿叩乃俣群椭悄芑酱鞌∷麄兊墓簦俏覀円矐?yīng)該熱情擁抱這一新的力量。
AV-Test的研究:
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧