高級持續性威脅因其形式多變、持久化、對抗性強及隱蔽性強的特點使得企業的安全防護所面臨的挑戰愈加嚴峻,但任何事情都具有兩面性,它在為企業帶來巨大安全風險的同時,也催生出了很多新型防護技術,人工智能的應用就是其中之一。
北京金睛云華科技有限公司
技術總監 富吉祥
現代社會,人工智能的廣泛應用已經不再是什么新鮮事了,它為“危機四伏”的網絡安全環境帶來了新的防護手段,而且最直接的優點之一就是解放了勞動力,對于網絡安全運營團隊來說,人工智能的引入讓他們在面多枯燥繁雜的數據告警壓力時看到了新的希望。但理論的誕生到技術的落地是一個充滿荊棘的過程,尤其對于存在情報竊取、網絡攻擊即服務和勒索軟件攻擊等嚴峻威脅的高級威脅防護領域,任何監測上的紕漏都可能會對企業造成無法挽回的傷害,對于一些國家關鍵信息基礎設施建設企業和監管部門來說,更是不能有絲毫馬虎。人工智能在高級威脅防護領域的實踐與落地始終備受關注。因此,本期牛人訪談我們邀請到了北京金睛云華科技有限公司(以下簡稱“金睛云華”)的技術總監富吉祥,針對高級威脅防護技術的發展情況,尤其是人工智能在該領域的實際應用方向和具體應用能力,以及其未來的發展展望進行了詳細的解讀,以下是訪談內容:
安全牛
您認為行業內高級威脅檢測技術發展歷程如何?現階段是一個怎樣的狀態?
富吉祥:
從高級威脅檢測產品上來看,行業內從關注入侵檢測系統IDS到基于全流量分析的NTA/NDR,再到最近比較“熱”的XDR,即將EDR、NDR和MDR等系統結合到統一平臺上的這樣的變化。檢測技術也從關注特征檢測轉變到了行為分析檢測,并且業內對于高級威脅攻擊的過程和技戰術手段的關注也在不斷增加。
防火墻、殺軟和IDS這“老三樣”是最初特征檢測階段最常用的工具,而發展到現如今對行為分析檢測更加關注之后,全流量分析產品也開始融入智能行為分析技術,比如可以采用自動化沙箱技術來分析惡意文件的主機和網絡行為,然后再對行為結果進行智能分析研判。可以對網絡中的惡意或異常流量進行行為建模,通過行為模式分析發現網絡安全風險。
安全牛
高級威脅檢測系統與傳統的威脅檢測產品相比技術難點有哪些?
富吉祥:
APT等高級威脅通常是一個長期連續的事件過程,從入侵到橫向移動,再到獲取目標數據會涉及到多種攻擊的組合。在現在復雜的網絡流量環境中,IDS類產品的告警數量非常多,它會識別到上述攻擊流程的部分攻擊事件并進行告警,但無法識別一些新型的、變種后的網絡攻擊,同時也無法對上述整個攻擊過程中的事件進行綜合分析研判,需要耗費安全運營團隊的大量時間在海量告警中挖掘。這是APT高級威脅檢測產品相對于傳統威脅檢測產品要解決的難點。
與此同時,如何在海量網絡數據中發現威脅線索、特別是特征檢測技術不能發現的高級威脅,如0day/Nday漏洞攻擊、惡意的加密流量、變種樣本或新產生的惡意文件也是APT威脅檢測產品的技術難點所在。解決這一難點的方法可以利用沙箱的惡意文件行為分析技術及基于人工智能的威脅行為分析技術。
沙箱可以理解為設備上的一個虛擬操作系統環境,其中內置了office、Adobe等軟件環境,當文件進入沙箱之后,首先會掃描文件的靜態構成,然后會在虛擬環境中去運行這一文件,運行之后就會產生本地行為,比如修改了系統文件或啟動了某項進程等,然后沙箱會根據這些行為來判斷是否是惡意行為,判定出相應的威脅程度;另外這個文件在虛擬環境中,還可能出現外聯互聯網的行為,外聯流量會被送入流量監測引擎進行研判,如是否命中了惡意域名的黑名單等,最后沙箱根據這些綜合的行為判斷樣本的危害性。
安全牛
您上述提到的人工智能技術在高級威脅檢測中具體是怎樣實現的?發揮了怎樣的作用?
富吉祥:
人工智能技術可以很好的應用于圖像識別、模式識別(如語言識別)和自然語言處理等領域。通過將部分安全問題映射到圖像、模式和文本類數據,就可以利用人工智能的預測能力發現傳統特征檢測技術無法發現的未知威脅和高級威脅。即基于基因圖譜技術檢測惡意文件變種;基于步態指紋技術檢測惡意加密流量及隱蔽隧道這些通過防火墻或IDS無法識別的威脅;基于自然語言處理的技術實現對DGA域名和SQL注入、XSS、Webshell等WEB類攻擊等。
展開來說,基因圖譜技術就是我們通過B2G算法把一個文件映射成一張圖像,當我們的數據樣本足夠多時,就會有大量的圖像,基于圖像相似度進行聚類并進行家族標記,通常是相同惡意文件家族的圖像會聚類到一起。這時我們再通過人工智能的CNN算法對其進行圖像識別訓練,訓練之后,人工智能就可以通過CNN模型識別出一個個威脅“家族”的文件基因,后續把待檢測樣本通過這個模型進行檢測,就能識別出具有相應“家族”基因的惡意文件新變種。
步態指紋技術與此類似,我舉個例子,每個人走路的步調是不同的,具體體現在步伐大小和頻率上。同理,一個惡意樣本的外聯加密流量或惡意加密攻擊行為也會有一個客戶端同服務端的多輪交互過程,我們會對這個過程中流量的數據包傳輸頻率、方向、大小及其中的協議特征進行分析,最后基于上述數據生成特征向量,這個特征向量其實就是對網絡交互過程的行為模式的描述,通過訓練使人工智能模型能夠有效的識別這類過程的技術就是步態指紋技術,針對隱秘隧道建模也是同理。
第三個就是自然語言處理技術,通過該技術對大量有威脅和正常的文本構成進行語義和詞頻特征提取,然后基于這些特征向量,建立威脅識別模型,基于這個模型對新產生的文本數據進行威脅智能識別。以上三種技術就是基于圖像識別、模式識別、文本數據識別等建模過程,實現了利用人工智能技術對高級威脅和未知威脅的檢測能力。
安全牛
很多APT攻擊是有潛伏期的,潛伏期內的威脅可以檢測到嗎?另外,通過人工智能技術對高級威脅攻擊整個過程中事件的關聯分析,也是一個溯源的過程,該過程目前可以達到一個怎樣的程度?
富吉祥:
潛伏就代表已經入侵成功了,入侵成功之后,這些高級威脅肯定會有對外連接的心跳,因此連接心跳是識別潛伏期攻擊的很好的切入點。比如說某高級威脅是通過明文的心跳或者是隱蔽隧道(DNS隧道等)的方式去實現心跳連接的,那么識別這些外聯的過程是發現已經被入侵的有效方式。
至于溯源,我們剛剛講攻擊的發生是個連續的過程,會有很多步驟,當發現攻擊后,也就是看到攻擊結果時,就會去排查是在哪一塊出現了問題,比如企業的財務的一些關鍵數據被外發出去了,就需要去排查它是在哪里被發出去的,查到之后還會進一步調查惡意威脅是怎樣入侵到這一設備的,郵件釣魚亦或是其他方式。
對于一個溯源的過程,具體要溯源到哪一步,取決于這個企業或者組織它對該事件的關注程度。比如說國家CERT、公安等監管單位,溯源的過程可能就會更深入一些,有可能會去溯源到某一個實體。
對于某些關鍵信息基礎設施類大型企業,它可能也會溯源到是哪些組織或實體在實施攻擊,但是對很多中小企業或影響很小的攻擊類型,并不會溯源很深,這些企業組織更在意本次威脅事件在企業內部的入口是什么、這些威脅是怎么進來的、消除風險后,后續是否還會再次發生……這是他們關注的重點。
安全牛
人工智能在實際落地中應用并不廣泛,您認為阻礙人工智能在安全檢測領域的發展因素是什么?
富吉祥:
人工智能技術其實很多年前就被提出了,近幾年才逐漸“火”起來。這是因為它開始變得可落地了。過去,也有人工智能算法,但是算力不夠,導致人工智能訓練過程很慢,甚至不可實現;另外就是可用于訓練的數據不夠,不能讓模型實現很好的應用效果。隨著GPU等算力的大規模提升,信息化和數字化發展進程的加快,可用于訓練的數據變得越來越多,人工智能技術更可落地了,并實現了很好的效果突破。
但相較于殺軟、規則檢測等技術手段,人工智能依舊屬于一個較新的前沿技術領域,在當前常用的檢測技術能產生一定效果情況下,發展并利用人工智能技術,首先需要企業認可這個方向,人工智能會給企業帶來實際的檢測效果及應用價值,能夠解決具體的問題,這樣人工智能領域才能獲得持續的資源投入,長期研發和積累。
人工智能的發展需要技術人才支持,既懂人工智能又懂網絡安全的綜合人才依舊匱乏,這也是一個不利因素。而且人工智能的發展,需要選定要解決的具體細分領域的網絡安全問題,并持續收集大量的數據,根據需要進行標注,人工智能的效果和數據的質量相關性很大,細分領域高質量的安全數據缺失也是一個阻礙因素。
安全牛
您認為未來人工智能在高級威脅檢測領域的發展形式如何?在人工智能的助力下,網絡安全行業會迎來哪些新的改變?
富吉祥:
我認為隨著更多的網絡安全企業對人工智能威脅檢測的關注與投入,相信人工智能會在更多的細分威脅領域落地,達到不錯的效果。這里的細分領域,可能是針對某一類惡意加密流量的識別,或者是對特定網絡攻擊的識別等,當然,要想實現對這些細分領域的實際應用落地,前提是一定要獲取大量的訓練數據并深入研究。
同時,已經有很多研究表明人工智能技術也可用于網絡攻擊,如利用強化學習等技術可以自動化生成繞過多種殺軟的變種惡意文件及繞過傳統檢測工具的Web攻擊等,我們將會面臨更復雜、變化快速的高級威脅攻擊手段及載荷,所以,未來可能會出現基于人工智能技術的網絡攻擊和檢測手段的持續對抗及升級。
安全牛評
網絡安全中的攻防是相輔相成的,安全防護技術在進步的同時,攻擊者也在不斷提升自身的攻擊水平。高級威脅已經成為大型企業關注的網絡安全威脅重點之一,一旦被高級威脅攻陷,造成的損失是不堪設想的。高級威脅潛伏期長,結構復雜,僅通過人工手段很難發現。人工智能在網絡安全領域的應用還處于初級階段,但應對以APT為代表的高級威脅時,卻急需人工智能技術的輔助。一方面,人工智能能提升威脅檢測的效率,減少重復性的人工操作;另一方面,隨著檢測數據類型增多、數據量龐大,只有人工智能才能在海量數據中發現威脅。隨著算法和算力的提升,人工智能將能發揮更大的作用,是安全產品必備的技術要點。
