奥义智能妙用AI 让未知威胁快速转变为已知
- 洪千惠
-
尽管谈到网安,早在过去随个人电脑、网际网络的普及,便已应运而生,绝不算是新议题,但展望今后的数码科技应用时代,多数IT人公认的最大挑战仍在于网安;为何随着时间演进、网安产品推陈出新,网安威胁却变本加厉?主要症结是,攻击活动的能见度愈来愈低。
奥义智能科技共同创始人丛培侃解释,新型态网安威胁,甚至已不带有任何实体病毒,而是循着正常管道、正常流程,轻松避开传统侦测机制,潜入受害企业内部、先抢占滩头堡,再利用操作系统内建功能,在不同电脑间横向移动,逐步探索并窃据机敏数据,然后把战利品予以打包,以加密方式上传至外部云端储存装置。
换言之,若像过去一样,仅侦测单一档案究竟属于恶意或善意,已难抵御新式威胁;欲厘清黑客行为,不能只看档案,应改变侦测模式,要看一连串的活动轨迹,才足以探测黑客的意图。例如一支正常的压缩程序,不会被各家防毒引擎判定为异常,但假使该程序并非处在应存在的目录,而是移动到其他位置,就意谓背后潜藏风险,可能已沦为黑客的档案打包工具;以往要想参透个中玄机,起码得花上至少两周的人工调查,确实缓不济急。
丛培侃认为,既然攻击者的手法套路已变,更擅于以合法掩护非法,懂得善用云端储存当作中继站,甚至发动无档案型态、或系统指令型态的攻击活动,企业就不宜拘泥在过往侦测思维,必须用AI机器学习技术来提升能见度,破解黑客的非法意图。
藉势态感知技术,迅速判断威胁势态
因此奥义自2017年成立以来,不断提倡「势态感知」(Situation Awareness)技术理念,只因面对顽强的威胁,企业的姿态很重要,若仅想着如何把恶意程序100%挡在门外,未免不切实际,理应设想自己一定被攻击,然后针对潜在危机做迅速的调查、侦测与应变;当发生可疑事件时,企业固然可依既有做法,动员专业人力对大量网安设备日志进行关联分析与判读,但必须耗费可观人力工时,不如藉助AI-Bot取代专业人力,帮助企业快速提升能量,将未知威胁转为已知的所需成本降至最低,进而从容因应GDPR等法规所限定的通报与应变时效。
所谓势态感知,像是飞行者利用驾驶舱内仪表板,感知外部环境变化,做为飞行决策依据;同样的,企业亦需感知外部的攻击活动与内部的弱点。至于奥义实践此事的方式,系于端点装设传感器,定时扫描与采集Event Log、Process Data与执行档案的信息摘要,接着将大量端点信息抛送到后端调查平台(由奥义或MSSP网安代管服务商负责维运),再由后台系统以增强式学习技术进行「报酬模型」分析,推算每台端点的报酬率,从而串联一群高报酬率的端点,前后连结成为黑客的活动轨迹(意指黑客眼中最具报酬率的攻击路径),借此补强过去人为判断的盲点,让案情水落石出。
虽然奥义推出AI自动化分析平台的时程不算久,但已在市场引发莫大回响,不仅吸引多家SOC业者成为平台推广的夥伴,也获得富邦产险青睐,与奥义合作推出新一代网安险,由奥义协助有意投保的企业做网安健诊,俾使企业据此改善网安架构,富邦才进行核保,对企业而言,保费负担较为低廉合理,假使日后遭骇,则可由富邦理赔损失,并透过奥义协助执行蒐证及应变。
[ 甫于去年底成立的奥义智能,共同创始人丛培侃先生将于7/19举办的2018云端网安论坛发表「弱点解析、威胁预测,以AI深度学习发展各式网安创新服务方案」,畅谈如何运用「势态感知」迅速判断网安威胁状态,活动完全免费,欢迎MIS、数据库、营运E化、稽核与法遵等信息人员报名参加!]
