如何利用人工智能做好端點防護
責編:gltian |2022-05-23 14:49:49在互聯網尚未普及的時代,機構唯一需要擔心的就是內網中員工使用的辦公電腦。而現在,遠不只是在寫字樓,員工會在機場、咖啡店、酒店辦公,由于疫情時代,居家辦公更是常態。
與在公司內網上對終端進行保護相比,居家辦公的終端面臨的威脅完全不一樣。惡意軟件泛濫的游戲設備、連接互聯網的電視、音箱、攝像頭……這些智能設備的軟件可能上一次更新是在幾年前,都與你的辦公電腦處在同一個局域網。
傳統端點安全已失效
EDR(端點檢測和響應)在這五年來,似乎一直都是終端安全的最優解。但問題在于,市面上的許多EDR仍然沿用傳統的方法,嚴重依賴威脅情報和基于規則的響應。這意味著,只能看到攻擊者已經干了什么,而不知道未來會發生什么。
網絡攻擊者越來越善于逃避基于規則的檢測。他們能夠快速地關掉自己的域名,利用殺毒引擎平臺測試自己的惡意軟件,并使用雪鞋攻擊(大量IP少量連接)將黑名單對惡意域名的可見性降至最低,導致想維護一個包含最新信息的、全面的威脅情報數據庫變得更加困難。
兩名希臘的安全研究人員對18種最流行的EDR和端點保護產品進行測試,結果只有兩款產品能夠完全覆蓋測試所用的高級攻擊手段。(測試報告:https://arxiv.org/pdf/2108.10422.pdf)
人工智能驅動的行為檢測
以端點安全廠商Darktrace的自主響應工具Antigena為例,它并非通過檢測已知的IOC來觸發緩解規則,而是使用機器學習技術建立正常的網絡流量和行為模型,然后實時監控網絡,以發現與預期行為不同的任何偏差,即異常行為。如:
某用戶訪問一個陌生服務器,并試圖將文件上傳到該服務器;一臺本地機器與外部大量的地址通信,而且這些目的地之前從未聯系過;一個幾乎不發送郵件的域名給某位員工發郵件。
當發現可疑活動時,Antigena便會發出警告,也可以設置成主動模式,自動響應該異常行為。而且,它的自學習機制可以根據行為的嚴重程度采取不同程度的處置措施,從簡單的隔離電子郵件到把終端和整個網絡隔離。
終端上的輕量級代理
后疫情時代,居家辦公已是常態。員工可能會將公司的數據下載到家中的計算機上,然后有意或無意地將這些數據存儲到其他地方,比如公有云。這種混合工作環境,脫離了公司的網絡監控視線,屬于典型的網絡安全盲區。
為了填補這一盲點,無論是在辦公室、商務旅行還是在家中,都要實現終端的可視性。為此,Darktrace的端點檢測和響應(EDR)產品包含了一個輕量級代理(cSensor),可以在Windows、Mac或Linux系統上運行,在網絡和通信級別執行異常行為的檢測,并分析終端設備上發生的情況。
例如,一個新安裝的應用程序正在與一個陌生的IP通信,或者某用戶沒有通過VPN連接到企業網絡上的另一臺設備。
cSensor還提供了額外的遙測功能,為Darktrace的其他產品提供了更多的上下文信息,幫助Antigena在更新網絡流量的自學習語料庫時,實時發現問題。
例如,當收到一封請求銀行交易的郵件時,基于cSensor提供的上下文信息,Antigena的電子郵件產品能夠識別這是否是一封來自陌生域名的發件,該域名是否是可疑的,以及是否要發出報警或做出阻攔。這一切都是在輔助訓練Antigena的自主響應能力。
監視斷開連接的設備
cSensor為機構網絡上運行的Darktrace實例建立了一個安全通道,當設備與網絡斷開連接時,可立即向后臺發出警報,并依據安全管理平臺(這里是指Darktrace的Enterprise Immune System)的情報采取相應行動。
對于不具備7*24小時監控服務,但同時又有內部監管要求的組織來說,這是一個很好的使用案例。cSensor能幫助Antigena檢測設備上的員工行為是否安全,以它確保設備不會被濫用。
Antigena還能夠通過網絡流量來監控無cSensor的端點設備,如傳感器、智能燈泡、聯網攝像頭,甚至是工業控制系統和OT設備。簡而言之,可以監控任何連進網絡的有IP地址的端點。
端點安全的未來
端點安全未來會發生很大的變化,尤其是隨著人們逐漸適應居家辦公模式,機構網絡安全監管范圍會擴大到家庭的網絡設置。如,企業可能會要求將公司業務數據與家庭個人數據進行物理隔離。這很可能意味著員工要有兩個彼此隔離的無線網絡。
端點設備一直都是網絡攻擊最為常見的入口,云計算、萬物互聯和移動辦公,更是令傳統的網絡邊界防護手段失效。網絡安全范式轉換的時代已來臨,在萬物互聯的數字世界,人工智能決定著未來攻防對抗的此消彼長。
來源:數世咨詢