深入微服務掌握資料 無監督學習分析安全性

2020-05-06
雲端化、數位化的應用驅動系統架構快速演進,開發方法論從瀑布式、敏捷式,到近年相當熱門的DevOps,雲端原生的微服務架構風格與容器環境成為現代化應用代名詞,相關的安全控管需求也隨之浮現。

 

Imperva近兩年大動作地強化雲端安全防護能力,2018年收購Prevoty提供RASP(Runtime Application Self Protection),2019年收購Distil Networks提供Bot Management,即著眼於從使用者就近存取的邊緣端,經過WAF(應用防火牆)、呼叫API運行應用服務,以及存取檔案的完整行為,皆提供相對應的保護機制。

Imperva亞太暨日本區技術總監周達偉觀察,過去企業大多只部署WAF設備,近幾年的需求已經改變,除了自建部署WAF以外,還得具備雲端服務保護能力。Imperva基於發展已屆完整的解決方案,提出全新的FlexProtect授權模式,讓防護機制就如同套餐般可選用實體設備、虛擬化版本,甚至是雲端服務,滿足不同企業IT安全需求。

嚴防對外服務API遭攻擊威脅 

針對雲端服務的發展,Imperva是基於雲端原生架構的Incapsula解決方案來提供,整合API防護、惡意機器人管理等進階功能,或是依照現實需求改變增添的新服務。

在當今網路應用環境下,API已經成為最常見的資料傳輸與交換方式,企業或組織得以藉此在新架構下開發應用服務、介接內部與外部資源建立流程自動化。隨著數位化轉型成為各產業的發展目標,API介接方式更加普及,針對API發動的攻擊也在同步增長。

周達偉指出,狀態異常、缺乏保護或遭受攻擊的API端點,由於先天存在向公眾服務暴露敏感資料的隱患,往往會成為重大資料外洩事件的肇因,凸顯出API防護機制的重要性。Imperva設計的方案,主要特色在於能夠建立一個動態的、主動的安全模型,保證API發布的第一時間即可受到保護,並且持續同步更新與修補。

「通常為了有效地保護API部署,將不可避免地涉及日常維運的投入,而Imperva的API安全解決方案,實現了自動化的操作能力,旨在減少甚至完全免除相關的人力介入。此外,亦可搭配Imperva的DDoS 防禦服務,享有業界最快的防禦回應速度,也就是服務等級協定在3秒內即可自動防禦大規模的DDoS攻擊。」周達偉說。

之所能實踐快速阻絕攻擊,背後功臣還包括SecureSphere硬體解決方案中提供的應用防禦中心(Application Defense Center),是由Imperva內部設置的研究機構發布最新威脅情資,也有在公開網頁上每月發布網路威脅指數(Cyber Threat Index),根據不同國家或地區,深入分析威脅來源、主要標的等相關資訊。資料來源就是Incapsula雲端服務平台所蒐集取得,從中可推導出各種結論。

增添RASP掌握微服務架構內溝通行為 

以往IT維運多種異質技術的資安方案,主要是仰仗日誌分析系統來協助,近幾年在接連爆發重大資安事故後卻發現,即使統整日誌進行關聯分析,往往欠缺資安專業人力判讀數據代表的意義,對此資安相關方案紛紛納入機器學習與人工智慧應用,藉此提升大數據分析能力,便能經過交叉比對凸顯異常行為,具體指出可疑行徑,以及帶來的影響。

過去Imperva曾經推出全域使用者追蹤(UUT)機制,透過Imperva旗下的WAF、資料庫安全,把前端與後端行為模式加以整合,來追蹤存取行為。只是UUT機制適用於三層式系統架構,最終用戶、前端網頁、後端資料庫,彼此可相互關聯,然而如今應用系統快速演進到微服務架構,不再僅有三層,可能是多層,亦必須達到同樣的追蹤目的。對此,近幾年資安市場上興起的使用者行為分析(UBA或UEBA),仍舊僅為部分實現,比較偏重在前端,結合終端裝置分析存取行為。周達偉表示,Imperva提出的Attack Analytics及Data Risk Analytics,則運用先進的機器學習運行大數據分析來提供防禦服務,強調的不僅只是前端,包括微服務架構內的溝通行為也可掌握。

他指出,「完整的資料來源是在Imperva整體解決方案中開始增添了RASP機制後,即可藉此掌握微服務架構中API之間的溝通行為,搭配既有WAF、資料庫安全、雲端安全方面的技術,讓運行環境得以相互串聯追蹤到最原始的位址。」

無監督機器學習搭配演算提高精準度 

Imperva使用先進的機器學習、人工智慧以及大數據分析多項技術來實施演算模型的輔助偵測,為Attack Analytics與Data Risk Analytics(前稱為Counter Breach)等違規防禦解決方案提供正確且迅速的邏輯判定依據。

實際上人工智慧演算分析的法則相當多,不同場景有適用的選項。周達偉表示,在資安防護領域,通常無法在人工智慧應用中限定所有場景模式,若可以定義,即屬於監督式學習模式,概念上類似表列白名單。Attack Analytics與Data Risk Analytics的特性是採用無監督學習方式,讓企業端各種應用場景,能夠藉此協助歸納、推演出安全需求,不是單純的人工智慧可以辦到,所以衍生出主成分分析系統,甚至聚類算法,可說是較其他同樣提供人工智慧應用的資安廠商差異之處。

他進一步說明,機器學習屬於人工智慧領域,電腦利用訓練或觀察學習到的數學運算式來探測相關模式,並確定其基準行為。機器學習能夠處理與分析大數據,這對於人類來說可不是輕而易舉的事情。學習任務主要分為兩大類:

.監督學習:向機器內輸入各種資料,以及預期輸出內容,如此,以後只要餵入相關內容,就能得出預期輸出。

.無監督學習:此類機器用於沒有明確輸入具體查詢模式的前提下,檢測數據集中的各類數據模式。

Imperva亞太暨日本區技術總監周達偉認為,混合雲模式已成為新型態應用普遍場景,須確立一套不同雲端平台與資料中心皆可採用的安全性,且不至於出現盲點,此時人工智慧應用即可發揮效益。

在無監督機器學習過程中,有多種技術可識別各類資料模式,最終生成有價值的分析結構。關鍵在於了解問題領域才得以正確選擇採用的技術,否則無法精準地解決。

除此之外,無監督式學習有許多不可預期的狀況,可能會導致誤判、漏判率過高,必須要搭配後續的分析演算法,才可精準地掌握正確率。 例如Imperva利用無監督動態學習對等群組模型的建立,來確定每位最終用戶各種存取行為模式,以及權限指標,首先Imperva會將最終用戶存取行為留下的稽核記錄轉化為目錄矩陣,依主成份分析法從現有特徵中選擇,在組合特徵後進行降維處理,找出存取模式關聯性以推導矩陣中的共線。最後使用聚類算法(OPTICS)因應未知對等群組資料來聚集用戶,得出最正確的決策保障。

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!