如何才能減少安全風(fēng)險(xiǎn),為云主機(jī)、終端主機(jī)帶來(lái)全方位的保護(hù)呢? 杰思安全認(rèn)為,機(jī)器學(xué)習(xí)(ML)是抵御當(dāng)前威脅的一道高效防線。從種種網(wǎng)絡(luò)主機(jī)入侵事件中,不難發(fā)現(xiàn)惡意軟件通常是破壞性攻擊的先兆和跳板。在過(guò)去的一年里,40%的安全事件是由傳統(tǒng)防病毒(AV)方案沒(méi)有檢測(cè)到的惡意軟件造成的。這意味著依賴傳統(tǒng)安全方案的企業(yè)很容易受到未被檢測(cè)到的惡意軟件的入侵。而經(jīng)過(guò)科學(xué)訓(xùn)練的機(jī)器學(xué)習(xí)引擎則可以對(duì)這種未知惡意軟件說(shuō)不。
惡意軟件為何會(huì)繞過(guò)傳統(tǒng)AV?
傳統(tǒng)的AV在很大程度上依賴于簽名庫(kù)或病毒特征碼來(lái)識(shí)別和阻止惡意軟件。這意味著要想攔截惡意軟件,首先需要發(fā)現(xiàn)新的惡意軟件并創(chuàng)建相應(yīng)的特征簽名,將該簽名分發(fā)部署到端點(diǎn)。在此過(guò)程中,在惡意軟件首次出現(xiàn)、創(chuàng)建特征簽名并且使得特征簽名可用之間打開(kāi)了時(shí)間窗口。這一時(shí)間差使得攻擊者有足夠的時(shí)間發(fā)起攻擊并得逞,或竊取以后可以加以利用的數(shù)據(jù)。
當(dāng)下,攻擊者不斷利用新技術(shù)來(lái)繞過(guò)反惡意軟件的安全保護(hù)措施。比較常見(jiàn)的技術(shù)是將已知惡意軟件修改或變形為0day變體,沒(méi)有與之匹配的特征簽名。為了實(shí)現(xiàn)這一目標(biāo),攻擊者會(huì)不斷變化或混淆惡意軟件的真實(shí)面目,使用諸如打包程序之類的工具。通過(guò)這樣簡(jiǎn)單的技術(shù),就能輕而易舉地逃避檢測(cè)?,F(xiàn)在,每天都會(huì)出現(xiàn)大約390,000多個(gè)新的惡意軟件,傳統(tǒng)基于簽名的技術(shù),根本無(wú)法應(yīng)對(duì)數(shù)量如此龐大的新惡意軟件。
ML是對(duì)惡意軟件的更好防御
反惡意軟件解決方案能有效檢測(cè)已知惡意軟件,但是對(duì)于未知威脅或0day 攻擊則無(wú)能為力。要想防止未知或0day惡意軟件,則需要引入ML。這便是ML最有價(jià)值的地方。
ML是基于文件的屬性來(lái)理解和識(shí)別惡意意圖,不需要特征簽名,也不需要執(zhí)行文件來(lái)觀察其行為。經(jīng)過(guò)精心設(shè)計(jì),ML可以成為抵御惡意軟件的極為有效的武器,檢測(cè)率高達(dá)99.5%。這使得機(jī)器學(xué)習(xí)成為任何有效端點(diǎn)解決方案的最低要求。杰思安全旗下的獵鷹主機(jī)安全響應(yīng)系統(tǒng),成功將安全研究團(tuán)隊(duì)的經(jīng)驗(yàn)與高級(jí)機(jī)器學(xué)習(xí)功能相結(jié)合,能幫助客戶自動(dòng)識(shí)別威脅,并立即采取響應(yīng)行動(dòng)。
杰思安全認(rèn)為:企業(yè)主機(jī)防范惡意軟件的能力是其安全策略是否有效的標(biāo)志之一 。無(wú)論云中的主機(jī)還是終端主機(jī)都承載了大量的關(guān)鍵數(shù)據(jù)和關(guān)鍵應(yīng)用,是不法分子覬覦的攻擊目標(biāo)。而ML能夠增加主機(jī)的主動(dòng)防御能力,有效抵御0day攻擊,增強(qiáng)主機(jī)安全免疫力。不過(guò)僅依靠ML來(lái)保護(hù)端點(diǎn)的安全策略稍顯單薄,需要綜合實(shí)施包括ML在內(nèi)的立體端點(diǎn)安全解決方案,結(jié)合各種互補(bǔ)技術(shù),例如漏洞利用預(yù)防、行為分析、意圖分析,才能提升用戶防御各種類型攻擊的綜合能力。
京公網(wǎng)安備 11010502049343號(hào)