可使用“分析師直覺”來實(shí)時(shí)判斷已存在和正在形成的網(wǎng)絡(luò)攻擊,擁有更好的檢測(cè)率,更少的誤檢事件。
企業(yè)數(shù)據(jù)安全領(lǐng)域的新解決方案總會(huì)受到歡迎,因?yàn)橥{源似乎總能找到繞過傳統(tǒng)技術(shù)的方式。
初創(chuàng)企業(yè)PatternEX使用了一種不同的方式來保護(hù)企業(yè)安全:使用新一代人工智能平臺(tái),實(shí)時(shí)模擬人類安全分析師的直覺。
如果你認(rèn)為這太復(fù)雜了,的確如此。但位于加利福尼亞州圣何塞的PatternEX并不畏懼挑戰(zhàn),公司在今年2月3日開始運(yùn)作,剛剛推出了其威脅預(yù)測(cè)平臺(tái)產(chǎn)品,能夠?qū)崿F(xiàn)所謂的“虛擬安全分析師”功能。
PatternEX公司CEO、聯(lián)合創(chuàng)始人Uday Veeramachaneni對(duì)媒體表示:“的確有很多攻擊被漏過了,這是眾所周知的事。但這類攻擊都存在一個(gè)很有意思的共性,即攻擊的數(shù)據(jù)并不會(huì)消失。數(shù)據(jù)被企業(yè)擁有的設(shè)施記錄了下來。人類分析師能夠據(jù)此進(jìn)行追查,并發(fā)現(xiàn)圍繞這些數(shù)據(jù)到底發(fā)生了什么。”
“還沒有現(xiàn)存系統(tǒng)能夠?qū)崟r(shí)理解這些數(shù)據(jù)。因此這就是我們的目標(biāo):創(chuàng)建一個(gè)能夠?qū)崟r(shí)理解這些數(shù)據(jù)的系統(tǒng),并阻止攻擊。”
實(shí)時(shí)檢測(cè)、確定并攔截攻擊
以下是PatternEX似乎能夠做到的事情:實(shí)時(shí)確定攻擊的類型,并攔截攻擊。
在PatternEX兩年的發(fā)展階段,Veeramachaneni成功說服了幾家關(guān)系非常好的公司,幫助自己在測(cè)試過程中使用實(shí)際的安全數(shù)據(jù)。這讓公司在真正開始運(yùn)營之后能夠立即開始處理真實(shí)的攻擊類型。
Veeramachaneni表示,PatternEX能夠在利用這些真實(shí)世界數(shù)據(jù)集合的基礎(chǔ)上,獲得比基于機(jī)器學(xué)習(xí)方法的異常檢測(cè)技術(shù)結(jié)果多十倍的結(jié)果,誤檢測(cè)概率也低了五倍。
Veeramachaneni表示,PatternEX的秘密配方是一種被稱為主動(dòng)式上下文建模(ACM)的技術(shù),它將分析師直覺整合成預(yù)測(cè)性的模型。當(dāng)全球的客戶部署了這些帶有認(rèn)知性的模型之后,能夠利用它們可以相互學(xué)習(xí)的特性,制造一種檢測(cè)攻擊模式的網(wǎng)絡(luò)化效應(yīng)。
攻擊者指紋仍在犯罪現(xiàn)場(chǎng)
Veeramachaneni說:“信息安全領(lǐng)域里最讓人迷惑的事情就是,檢測(cè)惡意行為所需要的數(shù)據(jù)其實(shí)早就在當(dāng)今的企業(yè)設(shè)施中存在了。人類分析師能夠檢測(cè)到它,但分析師很難雇到,而且沒有規(guī)模化。能夠?qū)崿F(xiàn)實(shí)時(shí)監(jiān)測(cè)的唯一方式就是減少分析師的數(shù)量,同時(shí)使用基于ACM技術(shù)的人工智能。”
ACM技術(shù)能夠?qū)⒃紨?shù)據(jù)轉(zhuǎn)化為行為,并綜合成分析師直覺,形成預(yù)測(cè)性模型;之后,平臺(tái)會(huì)使用這些模型進(jìn)行實(shí)時(shí)檢測(cè),查找特定的威脅向量。系統(tǒng)預(yù)測(cè)到的攻擊越多,其從分析師處獲取的反饋就越多,這將最終提升未來預(yù)測(cè)的準(zhǔn)確性。
在平臺(tái)從一個(gè)客戶處學(xué)習(xí)到了某種預(yù)測(cè)性模型之后,該知識(shí)可以在多家企業(yè)之間轉(zhuǎn)移,以檢測(cè)全球范圍內(nèi)出現(xiàn)的威脅。它可以更快地將精力聚焦于新出現(xiàn)的攻擊聚焦于新出現(xiàn)的攻擊上,并使所有客戶受益,也就是所謂的網(wǎng)絡(luò)化效應(yīng)。
該平臺(tái)將帶來什么?
Veeramachaneni稱,PatternEX可以部署在企業(yè)里、云端或者私有云上。它在一個(gè)平臺(tái)上聚合了許多新奇的組件:
大型數(shù)據(jù)平臺(tái),可處理大量數(shù)據(jù),實(shí)現(xiàn)實(shí)時(shí)響應(yīng);
一系列算法,可檢測(cè)罕見行為,甄別新型攻擊;
一個(gè)機(jī)制,可從安全分析師處獲取反饋,并使用反饋不斷升級(jí)現(xiàn)有模型;
主動(dòng)式學(xué)習(xí)反饋循環(huán),可隨時(shí)間發(fā)展逐漸提升檢測(cè)率;
威脅情檔案集合,可在多家企業(yè)之間共享。
最終,PatternEX的客戶將獲得更好的可見性,檢測(cè)、控制與詐騙和數(shù)據(jù)泄露相關(guān)的惡意行為,而不會(huì)帶來一些讓人迷惑的檢測(cè)噪音和誤檢事件,也不需要雇傭更多的安全員工。此外,PatternEX威脅預(yù)測(cè)平臺(tái)很容易與企業(yè)現(xiàn)有的安全架構(gòu)相融合,可方便部署。