诉诸人工智能网安 及时遏阻黑客恶意行径
- 魏淑芳
-
近几年来,不管是譬如进阶持续性渗透攻击(APT)的「针对性威胁」,或重点在于恶意行为横向移动的「非针对性威胁」,攻击手法皆持续精进,令企业不堪其扰。资策会网安所技服中心数据分析技术组组长毛敬豪表示,凭藉传统特徵比对模式,愈来愈难以察觉敌人踪迹,故需要转换方式,利用数学模型来运作行为分析,才可望有所突破,因而使得AI(人工智能)网安跃为时势所趋。
毛敬豪指出,现阶段APT攻击者「该渗透的都已经渗透」,企业接下来的防护重点,并不在于思考如何防止敌军进犯,而是设法找出潜藏于内部的鬼网(Darknet),意即以强化内部侦测为首要之务。相形之下,企业今后较常遭遇的新敌人,理应不是APT,而是非针对性攻击,加密勒索病毒便是典型的例子。
以WannaCry 2.0为例,己跳脱1.0版必须点击邮件附档或网站连结的感染模式,而是透过网芳漏洞,从线上注入恶意程序至本地端,这般情势着实让人忧心;主要是因为,无论WannaCry或较早发难的勒索软件,背后影武者都是地下犯罪组织,而非网军,如果网军也「共襄盛举」,也利用零日漏洞、线上注入方式发动勒索攻击,肯定是更可怕的灾难。
毋庸置疑,欲战胜勒索病毒,必须设法在开始进行加密之际,适时加以阻断,因此需要在端点设备启用自我防御机制,持续监测Process与档案存取行为;然而这般机制,很难藉由防毒软件来建立,因为防毒软件采用特徵比对方式,而勒索病毒的变种又快又多,所以特徵码产出时效,往往跟不上黑客翻新速度,况且防毒软件大概比对3到4种Pattern,便造成效能急遽恶化,这些盲点,导致一般防毒软件在面对勒索病毒时,总是屈居下风。
透过SDK与AI 持续分析系统之行为
究竟该如何突破僵局?毛敬豪认为唯一解法就是「行为分析」,他进一步解释,现今已有地下的犯罪供应链,提供漏洞与攻击工具,但种类不见得很多,黑客通常利用这些有限资源进行加工,做出看似独特的恶意程序,但不管再怎麽变,都蕴含与源头一致的关键特徵,所以只要掌握威胁情资、抓住这些基本特徵,以此做为基准,再利用AI、深度学习等技术侦测恶意行为,就可望先发至人,在勒索病毒进行加密的当下,及时将之遏止。
足见时值新型态攻击横生,加上万物联网时代来临、大幅助长扩散速度,企业处在严峻的环境,唯有借助威胁情资蒐集机制、安全软件开发套件(SDK),及有效快速的AI网安驱动模式(例如On-Chip),才可望明哲保身。
有监于此,经济部以新台币2亿元预算,启动一项为期4年的网安旗舰计划,期望锁定机器感知(渗透测试)、深度学习与数据隐私安全等三大主轴,进行人才培育、技术研发、场域实证与产业推动等相关工作,淬炼台湾自主的网安技术能量。
资策会网安所负责执行上述科技专案,而在推动个中技术研发任务的过程,锁定的重点就是威胁情蒐、SDK及AI等关键项目,首先开发SecBuzzer情资分析平台,借此汇集全球网安专业社群的讨论议题、美国NVD弱点数据库、诱补样本、甚至暗黑网络等情资素材,并藉由AI解析恶意程序基础架构、追踪恶意程序的幕后黑手;其次则与业者合作开发SDK核心模块,将此植入终端装置,而采用这些装置的企业用户,可透过API串接威胁情资,有效防御各种新型态威胁。
