高級持續(xù)性威脅因其形式多變,、持久化,、對抗性強及隱蔽性強的特點使得企業(yè)的安全防護所面臨的挑戰(zhàn)愈加嚴(yán)峻,但任何事情都具有兩面性,,它在為企業(yè)帶來巨大安全風(fēng)險的同時,也催生出了很多新型防護技術(shù),人工智能的應(yīng)用就是其中之一,。
北京金睛云華科技有限公司
技術(shù)總監(jiān) 富吉祥
現(xiàn)代社會,人工智能的廣泛應(yīng)用已經(jīng)不再是什么新鮮事了,,它為“危機四伏”的網(wǎng)絡(luò)安全環(huán)境帶來了新的防護手段,,而且最直接的優(yōu)點之一就是解放了勞動力,對于網(wǎng)絡(luò)安全運營團隊來說,,人工智能的引入讓他們在面多枯燥繁雜的數(shù)據(jù)告警壓力時看到了新的希望,。但理論的誕生到技術(shù)的落地是一個充滿荊棘的過程,尤其對于存在情報竊取,、網(wǎng)絡(luò)攻擊即服務(wù)和勒索軟件攻擊等嚴(yán)峻威脅的高級威脅防護領(lǐng)域,,任何監(jiān)測上的紕漏都可能會對企業(yè)造成無法挽回的傷害,對于一些國家關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)企業(yè)和監(jiān)管部門來說,,更是不能有絲毫馬虎,。人工智能在高級威脅防護領(lǐng)域的實踐與落地始終備受關(guān)注。因此,,本期牛人訪談我們邀請到了北京金睛云華科技有限公司(以下簡稱“金睛云華”)的技術(shù)總監(jiān)富吉祥,,針對高級威脅防護技術(shù)的發(fā)展情況,尤其是人工智能在該領(lǐng)域的實際應(yīng)用方向和具體應(yīng)用能力,,以及其未來的發(fā)展展望進行了詳細(xì)的解讀,,以下是訪談內(nèi)容:
安全牛
您認(rèn)為行業(yè)內(nèi)高級威脅檢測技術(shù)發(fā)展歷程如何?現(xiàn)階段是一個怎樣的狀態(tài),?
富吉祥:
從高級威脅檢測產(chǎn)品上來看,,行業(yè)內(nèi)從關(guān)注入侵檢測系統(tǒng)IDS到基于全流量分析的NTA/NDR,再到最近比較“熱”的XDR,,即將EDR,、NDR和MDR等系統(tǒng)結(jié)合到統(tǒng)一平臺上的這樣的變化,。檢測技術(shù)也從關(guān)注特征檢測轉(zhuǎn)變到了行為分析檢測,并且業(yè)內(nèi)對于高級威脅攻擊的過程和技戰(zhàn)術(shù)手段的關(guān)注也在不斷增加,。
防火墻,、殺軟和IDS這“老三樣”是最初特征檢測階段最常用的工具,而發(fā)展到現(xiàn)如今對行為分析檢測更加關(guān)注之后,,全流量分析產(chǎn)品也開始融入智能行為分析技術(shù),,比如可以采用自動化沙箱技術(shù)來分析惡意文件的主機和網(wǎng)絡(luò)行為,然后再對行為結(jié)果進行智能分析研判,??梢詫W(wǎng)絡(luò)中的惡意或異常流量進行行為建模,通過行為模式分析發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險,。
安全牛
高級威脅檢測系統(tǒng)與傳統(tǒng)的威脅檢測產(chǎn)品相比技術(shù)難點有哪些,?
富吉祥:
APT等高級威脅通常是一個長期連續(xù)的事件過程,從入侵到橫向移動,,再到獲取目標(biāo)數(shù)據(jù)會涉及到多種攻擊的組合,。在現(xiàn)在復(fù)雜的網(wǎng)絡(luò)流量環(huán)境中,IDS類產(chǎn)品的告警數(shù)量非常多,,它會識別到上述攻擊流程的部分攻擊事件并進行告警,,但無法識別一些新型的、變種后的網(wǎng)絡(luò)攻擊,,同時也無法對上述整個攻擊過程中的事件進行綜合分析研判,,需要耗費安全運營團隊的大量時間在海量告警中挖掘。這是APT高級威脅檢測產(chǎn)品相對于傳統(tǒng)威脅檢測產(chǎn)品要解決的難點,。
與此同時,,如何在海量網(wǎng)絡(luò)數(shù)據(jù)中發(fā)現(xiàn)威脅線索、特別是特征檢測技術(shù)不能發(fā)現(xiàn)的高級威脅,,如0day/Nday漏洞攻擊,、惡意的加密流量、變種樣本或新產(chǎn)生的惡意文件也是APT威脅檢測產(chǎn)品的技術(shù)難點所在,。解決這一難點的方法可以利用沙箱的惡意文件行為分析技術(shù)及基于人工智能的威脅行為分析技術(shù),。
沙箱可以理解為設(shè)備上的一個虛擬操作系統(tǒng)環(huán)境,其中內(nèi)置了office,、Adobe等軟件環(huán)境,,當(dāng)文件進入沙箱之后,,首先會掃描文件的靜態(tài)構(gòu)成,,然后會在虛擬環(huán)境中去運行這一文件,運行之后就會產(chǎn)生本地行為,,比如修改了系統(tǒng)文件或啟動了某項進程等,,然后沙箱會根據(jù)這些行為來判斷是否是惡意行為,,判定出相應(yīng)的威脅程度;另外這個文件在虛擬環(huán)境中,,還可能出現(xiàn)外聯(lián)互聯(lián)網(wǎng)的行為,,外聯(lián)流量會被送入流量監(jiān)測引擎進行研判,如是否命中了惡意域名的黑名單等,,最后沙箱根據(jù)這些綜合的行為判斷樣本的危害性,。
安全牛
您上述提到的人工智能技術(shù)在高級威脅檢測中具體是怎樣實現(xiàn)的?發(fā)揮了怎樣的作用,?
富吉祥:
人工智能技術(shù)可以很好的應(yīng)用于圖像識別,、模式識別(如語言識別)和自然語言處理等領(lǐng)域。通過將部分安全問題映射到圖像,、模式和文本類數(shù)據(jù),,就可以利用人工智能的預(yù)測能力發(fā)現(xiàn)傳統(tǒng)特征檢測技術(shù)無法發(fā)現(xiàn)的未知威脅和高級威脅。即基于基因圖譜技術(shù)檢測惡意文件變種,;基于步態(tài)指紋技術(shù)檢測惡意加密流量及隱蔽隧道這些通過防火墻或IDS無法識別的威脅,;基于自然語言處理的技術(shù)實現(xiàn)對DGA域名和SQL注入、XSS,、Webshell等WEB類攻擊等,。
展開來說,基因圖譜技術(shù)就是我們通過B2G算法把一個文件映射成一張圖像,,當(dāng)我們的數(shù)據(jù)樣本足夠多時,,就會有大量的圖像,基于圖像相似度進行聚類并進行家族標(biāo)記,,通常是相同惡意文件家族的圖像會聚類到一起,。這時我們再通過人工智能的CNN算法對其進行圖像識別訓(xùn)練,訓(xùn)練之后,,人工智能就可以通過CNN模型識別出一個個威脅“家族”的文件基因,,后續(xù)把待檢測樣本通過這個模型進行檢測,就能識別出具有相應(yīng)“家族”基因的惡意文件新變種,。
步態(tài)指紋技術(shù)與此類似,,我舉個例子,每個人走路的步調(diào)是不同的,,具體體現(xiàn)在步伐大小和頻率上,。同理,一個惡意樣本的外聯(lián)加密流量或惡意加密攻擊行為也會有一個客戶端同服務(wù)端的多輪交互過程,,我們會對這個過程中流量的數(shù)據(jù)包傳輸頻率,、方向、大小及其中的協(xié)議特征進行分析,最后基于上述數(shù)據(jù)生成特征向量,,這個特征向量其實就是對網(wǎng)絡(luò)交互過程的行為模式的描述,,通過訓(xùn)練使人工智能模型能夠有效的識別這類過程的技術(shù)就是步態(tài)指紋技術(shù),針對隱秘隧道建模也是同理,。
第三個就是自然語言處理技術(shù),,通過該技術(shù)對大量有威脅和正常的文本構(gòu)成進行語義和詞頻特征提取,然后基于這些特征向量,,建立威脅識別模型,,基于這個模型對新產(chǎn)生的文本數(shù)據(jù)進行威脅智能識別。以上三種技術(shù)就是基于圖像識別,、模式識別,、文本數(shù)據(jù)識別等建模過程,實現(xiàn)了利用人工智能技術(shù)對高級威脅和未知威脅的檢測能力,。
安全牛
很多APT攻擊是有潛伏期的,,潛伏期內(nèi)的威脅可以檢測到嗎?另外,,通過人工智能技術(shù)對高級威脅攻擊整個過程中事件的關(guān)聯(lián)分析,,也是一個溯源的過程,該過程目前可以達(dá)到一個怎樣的程度,?
富吉祥:
潛伏就代表已經(jīng)入侵成功了,,入侵成功之后,這些高級威脅肯定會有對外連接的心跳,,因此連接心跳是識別潛伏期攻擊的很好的切入點,。比如說某高級威脅是通過明文的心跳或者是隱蔽隧道(DNS隧道等)的方式去實現(xiàn)心跳連接的,那么識別這些外聯(lián)的過程是發(fā)現(xiàn)已經(jīng)被入侵的有效方式,。
至于溯源,,我們剛剛講攻擊的發(fā)生是個連續(xù)的過程,會有很多步驟,,當(dāng)發(fā)現(xiàn)攻擊后,,也就是看到攻擊結(jié)果時,就會去排查是在哪一塊出現(xiàn)了問題,,比如企業(yè)的財務(wù)的一些關(guān)鍵數(shù)據(jù)被外發(fā)出去了,,就需要去排查它是在哪里被發(fā)出去的,查到之后還會進一步調(diào)查惡意威脅是怎樣入侵到這一設(shè)備的,,郵件釣魚亦或是其他方式,。
對于一個溯源的過程,具體要溯源到哪一步,,取決于這個企業(yè)或者組織它對該事件的關(guān)注程度,。比如說國家CERT,、公安等監(jiān)管單位,溯源的過程可能就會更深入一些,,有可能會去溯源到某一個實體。
對于某些關(guān)鍵信息基礎(chǔ)設(shè)施類大型企業(yè),,它可能也會溯源到是哪些組織或?qū)嶓w在實施攻擊,,但是對很多中小企業(yè)或影響很小的攻擊類型,并不會溯源很深,,這些企業(yè)組織更在意本次威脅事件在企業(yè)內(nèi)部的入口是什么,、這些威脅是怎么進來的、消除風(fēng)險后,,后續(xù)是否還會再次發(fā)生……這是他們關(guān)注的重點,。
安全牛
人工智能在實際落地中應(yīng)用并不廣泛,您認(rèn)為阻礙人工智能在安全檢測領(lǐng)域的發(fā)展因素是什么,?
富吉祥:
人工智能技術(shù)其實很多年前就被提出了,,近幾年才逐漸“火”起來。這是因為它開始變得可落地了,。過去,,也有人工智能算法,但是算力不夠,,導(dǎo)致人工智能訓(xùn)練過程很慢,,甚至不可實現(xiàn);另外就是可用于訓(xùn)練的數(shù)據(jù)不夠,,不能讓模型實現(xiàn)很好的應(yīng)用效果,。隨著GPU等算力的大規(guī)模提升,信息化和數(shù)字化發(fā)展進程的加快,,可用于訓(xùn)練的數(shù)據(jù)變得越來越多,,人工智能技術(shù)更可落地了,并實現(xiàn)了很好的效果突破,。
但相較于殺軟,、規(guī)則檢測等技術(shù)手段,人工智能依舊屬于一個較新的前沿技術(shù)領(lǐng)域,,在當(dāng)前常用的檢測技術(shù)能產(chǎn)生一定效果情況下,,發(fā)展并利用人工智能技術(shù),首先需要企業(yè)認(rèn)可這個方向,,人工智能會給企業(yè)帶來實際的檢測效果及應(yīng)用價值,,能夠解決具體的問題,這樣人工智能領(lǐng)域才能獲得持續(xù)的資源投入,,長期研發(fā)和積累,。
人工智能的發(fā)展需要技術(shù)人才支持,既懂人工智能又懂網(wǎng)絡(luò)安全的綜合人才依舊匱乏,這也是一個不利因素,。而且人工智能的發(fā)展,,需要選定要解決的具體細(xì)分領(lǐng)域的網(wǎng)絡(luò)安全問題,并持續(xù)收集大量的數(shù)據(jù),,根據(jù)需要進行標(biāo)注,,人工智能的效果和數(shù)據(jù)的質(zhì)量相關(guān)性很大,細(xì)分領(lǐng)域高質(zhì)量的安全數(shù)據(jù)缺失也是一個阻礙因素,。
安全牛
您認(rèn)為未來人工智能在高級威脅檢測領(lǐng)域的發(fā)展形式如何,?在人工智能的助力下,網(wǎng)絡(luò)安全行業(yè)會迎來哪些新的改變,?
富吉祥:
我認(rèn)為隨著更多的網(wǎng)絡(luò)安全企業(yè)對人工智能威脅檢測的關(guān)注與投入,,相信人工智能會在更多的細(xì)分威脅領(lǐng)域落地,達(dá)到不錯的效果,。這里的細(xì)分領(lǐng)域,,可能是針對某一類惡意加密流量的識別,或者是對特定網(wǎng)絡(luò)攻擊的識別等,,當(dāng)然,,要想實現(xiàn)對這些細(xì)分領(lǐng)域的實際應(yīng)用落地,前提是一定要獲取大量的訓(xùn)練數(shù)據(jù)并深入研究,。
同時,,已經(jīng)有很多研究表明人工智能技術(shù)也可用于網(wǎng)絡(luò)攻擊,如利用強化學(xué)習(xí)等技術(shù)可以自動化生成繞過多種殺軟的變種惡意文件及繞過傳統(tǒng)檢測工具的Web攻擊等,,我們將會面臨更復(fù)雜,、變化快速的高級威脅攻擊手段及載荷,所以,,未來可能會出現(xiàn)基于人工智能技術(shù)的網(wǎng)絡(luò)攻擊和檢測手段的持續(xù)對抗及升級,。
安全牛評
網(wǎng)絡(luò)安全中的攻防是相輔相成的,安全防護技術(shù)在進步的同時,,攻擊者也在不斷提升自身的攻擊水平,。高級威脅已經(jīng)成為大型企業(yè)關(guān)注的網(wǎng)絡(luò)安全威脅重點之一,一旦被高級威脅攻陷,,造成的損失是不堪設(shè)想的,。高級威脅潛伏期長,結(jié)構(gòu)復(fù)雜,,僅通過人工手段很難發(fā)現(xiàn),。人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用還處于初級階段,但應(yīng)對以APT為代表的高級威脅時,,卻急需人工智能技術(shù)的輔助,。一方面,,人工智能能提升威脅檢測的效率,減少重復(fù)性的人工操作,;另一方面,,隨著檢測數(shù)據(jù)類型增多、數(shù)據(jù)量龐大,,只有人工智能才能在海量數(shù)據(jù)中發(fā)現(xiàn)威脅,。隨著算法和算力的提升,人工智能將能發(fā)揮更大的作用,,是安全產(chǎn)品必備的技術(shù)要點,。
