Tactics、Techniques and Procedures Endpoint Detection and Response Ransomware Cyber Guarantee Next-generation antivirus TTP Endpoint Security CylancePROTECT Carbon Black SentinelOne Cylance FireEye NGAV 達友科技 安創資訊 EDR

AI辨識超越人力極限 惡意行為即時偵測分析

2017-11-23
人工智慧與機器學習技術被應用在資安領域,以協助提升偵測率,可說是端點安全廠商重要的發展趨勢。
直接以人工智慧與機器學習設計端點安全產品的新創公司Cylance,去年進入台灣市場後,迅速打響名號,但安創資訊技術長胡辰澔指出,由於市場對於端點安全方案需求明顯大幅提升,為了提供多樣化的產品技術,以便讓客戶能依據實際環境與需求有所選擇,因而除了銷售Cylance解決方案以外,再引進另一家同樣為早期即運用人工智慧來提升偵測能力的廠商SentinelOne,增強端點事前偵測與攔阻能力,同時具備端點偵測與回應(EDR)事後處理機制。

以傳統防毒軟體的設計來看,主要是運用特徵碼比對,隨著惡意程式不斷變換感染模式,陸續增添採用啟發式引擎、沙箱、誘捕陷阱等技術輔助分析,來提升偵測能力。近年來黑色產業鏈蓬勃發展,推動惡意程式變種速度快速成長,特徵碼偵測機制在來不及反應之下,爆發許多資安事件,使得專業人力疲於奔命地解決問題,因此帶動EDR工具輔助提升處理效率的需求。

演算法模型取代人力建立特徵工程

EDR工具觀察的重點在於惡意程式執行後行為,對於執行前的偵測較少著墨。胡辰澔說明,EDR絕大多數以入侵偵測指標(IOC)為基礎,針對程式執行行為,以黑白名單等方式調查與鑑識,也可藉此達到偵測的目的,或是搭配雲端平台龐大的情資,實作機器學習演算法執行判斷是否惡意。


▲SentinelOne以非監督式的機器學習技術,實作事前預防、事中偵測、事後回應,也提供修復(Remediation)機制,以及整起惡意程式的調查鑑識資料。

相較之下,Cylance解決方案則包含事前預防、事中偵測,以及事後的調查,全數皆是基於人工智慧領域的技術,發展解決資安問題的方案。其推出的產品,初期僅專注在蒐集各種不同領域所發現的惡意檔案,存放到AWS雲端平台,再運用神經網路(Neural Network),從中學習檔案的特徵。

「以現階段來看,解析惡意檔案取得特徵值的工作,主要是由人力來執行,技術能力再強的研究人員,一個檔案樣本大概可以定義出250個左右的特徵值。其以AWS雲端平台上所搜集取得的12PB資料量為基礎,運用神經網路持續不斷地訓練演算法模型,建立檔案特徵工程的自動化機制,至今已累計大約2萬多個特徵值。」胡辰澔說。

單純由人力定義的250個特徵值,不論如何排列組合運算,大約不脫離十多萬種模式;多達2萬個特徵值,則可達到百萬、千萬種組合方法,提供神經網路訓練與建構資料模型。Cylance的概念即是以資料模型為發展基礎,運用許多數學與統計所組成的運算式,實作機器學習演算法,當資料進入系統時,自動萃取2萬多種特徵值,提供神經網路運算檔案惡意行為評分。自2012年就已開始發展至今,擁有相較於其他端點安全方案廠商,更完整的機器學習數學模型,該公司擁有的13個專利中,就有7個為人工智慧相關。

可疑程式發作前依據意圖評分判斷

▲安創資訊技術長胡辰澔觀察,資安領域過去無法發展人工智慧,主要礙於機器的運算能力,難以支應數學模型的精準訓練,再加上以往的理論基礎,未被應用於資安領域,直到少數先驅廠商開始實作後才引起業界關注採用。
2年前推出的CylancePROTECT,即是運用已訓練完成的數學模型提高偵測能力,發展至今已足夠成熟,現階段的更新週期可長達到6個月。此外,胡辰澔強調,已訓練完成的數學模型經過濃縮,可提供比特徵碼分析更輕量的代理程式,直接部署在端點或嵌入式系統,佔用的CPU運算資源大約不超過5%,並且Cylance官方宣稱,偵測未知型惡意程式的精準率可達到99.7%,對於僅需建立基礎防護的應用場域而言已足夠。

問題是,即便是只有0.3%的機率可能被滲透成功,一旦攻擊活動最後演變成為資安事件後,仍舊需要執行調查與鑑識,才有能力還原整起活動內容。「我認為完整的端點安全解決方案,必須要涵蓋到事前偵測、事中防堵、事後調查與鑑識,尤其是鑑識,不僅是程式執行緒的過程,更須運用工具協助還原原始碼,以從中調查真相。」

事後調查與鑑識所採用的工具,必須有能力拆解惡意程式碼,並且設計圖形化方式呈現,讓不具備資安相關知識與經驗的IT人員也可釐清問題根源,如此一來,才可藉由調整規則政策或防禦措施,達到改善的目的,也才不至於類似問題重複發生。 人工智慧的數學運算模型除了可被應用於提高偵測率,同樣也可實作EDR方案所擅長處理的行為分析。畢竟行為分析必須在未知型檔案執行當下,才得以取得更多資訊來判定是否為惡意,否則即便被判定為可疑檔案,仍舊得先放行,以免造成誤判,干擾使用者日常工作。「因此,把行為模式偵測改由人工智慧,即可判斷可疑程式的意圖。在尚未發作前,先一步運用數學運算模型評分可疑程式的意圖百分比,究竟是偏向善意或惡意,不用等到發作時才執行攔阻,屆時恐怕為時已晚。」

安全擔保服務提供損害賠償

全球最先運用人工智慧來提升偵測能力的廠商,當屬Cylance與SentinelOne。胡辰澔表示,選擇代理SentinelOne的原因,即在於前述的功能機制皆已具備,從程式執行前的偵測,到執行後的行為模式分析,都是運用數學運算模型實作,同時也具備黑白名單機制,針對高風險的端點可先行隔離處置,僅允許連線到統一控管平台,再由IT人員調查事實真相。

SentinelOne更特別的是提供安全擔保服務。萬一客戶在安裝SentinelOne之後,仍遭受勒索軟體感染成功,並且被強制隔離,IT管理者可透過統一控管平台遠端派送執行指令,讓已感染的端點回復上一次執行快照狀態,最後結果若失敗,仍造成檔案的損害,SentinelOne提供的Ransomware Cyber Guarantee服務,每台電腦可求償1,000美元,總數可高達100萬美元,為端點安全增添另一種層次的保障。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!