新創企業研究機構CB Insights選出的2018最具發展前景的100家人工智慧新創業者,屬於資訊安全防護範疇者即有10家企業。其中,CrowdStrike在2017年市場價值已經突破30億美元,堪稱為新創獨角獸公司;CyberReason達到9億美元的市場價值,亦接近獨角獸公司。分析表現優異的AI資安新創公司,有助更加了解AI資安防護趨勢與產品發展方向。
而觀察這些資安防護業者應用AI的類型,則可分為:端點防護、網路行為分析、網站防護及其他,本文將挑選部分新創案例說明。
AI補足傳統端點防護缺點
所謂端點防護在於保護企業中各種載具的資安威脅,以避免病毒透過員工的智慧手機、企業伺服器乃至於物聯網設備,進而竊取企業資料、勒索或造成企業內資訊系統停擺。傳統端點保護的問題來自於五點:
1.架構複雜:針對不同載具部署偵測軟體太過於複雜,不易管理。
2.執行效率:針對新型病毒會定期下載病毒碼到載具端,影響載具運作效率。
3.缺乏透明:傳統端點病毒缺乏整體的分析各端點受威脅狀況。
4.缺乏智慧建議:傳統端點病毒僅會就可能安全威脅提供阻斷或其他簡單處理動作,不能提供整體防護建議。
5.缺乏積極性建議:傳統端點病毒建議是消極性的防治處理,並沒有根據威脅入侵提供積極的處理方式。
另外,傳統資安端點防護方式是以病毒碼簽名之端點防護方式,主要是針對被病毒感染的檔案,帶有別於其他檔案的執行碼,透過更新病毒碼簽名,以掃描保護的端點載具上是否有潛在威脅。然而,現在的病毒攻擊方式更加複雜,且動態地改變病毒碼簽名或者不從檔案感染進行攻擊,傳統資安端點無法防護。
CrowdStrike主要提供企業智慧端點資安偵測、監控的雲端服務方案。CrowdStrike提供輕量級的端點防護代理程式(Agent),安裝在各種設備載具中,並不須將病毒碼更新到設備載具端,減輕載具負荷,讓智慧手機、物聯網載具也可以輕易地安裝。CrowdStrike核心平台Falcon Platform運行在雲端服務上,透過蒐集各個企業的資安威脅事件(每日超過500億事件、上百萬載具、橫跨176國家),進行機器學習分析,並提供企業整體資安威脅事件的透明化檢視、威脅智慧分析與建議等。
CrowdStrike的威脅智慧分析(Falcon Intelligence)是其AI方案的主軸。Falcon Intelligence不同於傳統資安端點防護方式,是以病毒行為進行學習與分析。Falcon Intelligence運用機器學習蒐集、學習、分析病毒攻擊行為、防護策略,以提供企業資安人員分析病毒的攻擊動機、下一步動作及因應策略。
Falcon Intelligence的蒐集資料來源包括:開源社群訊息、機器訊息、專家知識、暗黑資安攻擊分享網站資料等。企業人員使用Falcon Intelligence,不僅可以運用上述各種資訊來源與專家知識進行分析、事件關聯機器學習技術分析等,也可以直接詢問CrowdStrike專家各種諮詢以及病毒樣本下載解析等。
而因為現代資安攻擊手法更為複雜,Falcon Intelligence透過圖(Graph)運算,以檢視資安攻擊手法,進而進行阻斷、防治或行為學習,由此可以讓企業資安人員檢視資安攻擊路徑與行為。
CrowdStrike的Crowd代表群眾智慧的意義,透過其SaaS服務、累積全球各企業病毒行為、防治動作以及專家的智慧,使得CrowdStrike可以快速地發現新型病毒行為,進而有效地進行防治。CrowdStrike每年營收、訂購顧客均超過100%成長,100萬美元訂單更是年成長5倍。CrowdStrike不僅在端點防護上有其專長、群眾智慧的商業模式更是吸引創投資金不斷投入的原因。
EndGame強調偵測與病毒防護不需要透過雲端連線處理,在端點的代理人程式可離線自動偵測。當企業客戶需要進一步詳細地分析病毒時,可以將相關可疑感染檔案送交至EndGame之私有雲沙盒進行分析,EndGame也不會將相關檔案分享給與其他企業。
EndGame更強調運用MITRE組織的ATT&CK病毒攻擊行為分析框架與模型資料庫,來偵測與防治病毒。MITRE是美國聯邦政府資助的非營利組織,專門協助資訊安全、國土安全、防護安全等。EndGame認為機器學習不見得能夠分類所有的病毒行為,有其限制,故更重視既有人類專家知識辨認各種病毒感染的行為,搭配機器學習來辨認未知的病毒行為。
此外,EndGame運用AI智慧聊天機器人,協助企業資安人員詢問各種防治方法,以更直覺的方式快速地解決資安防護問題。
AI分析網路行為確保資訊安全
當企業運用愈來愈多智慧手機、聯網設備來進行資料交換時,資訊安全的防護不僅可從端點載具上進行偵測與防護,亦可從網路資料傳輸行為進行偵測。特別是許多小型聯網設備如工廠聯網設備、聯網閘道器,無法安裝代理程式。因此,許多新興的方案從網路行為進行資安分析。Darktrace就是運用AI進行網路行為分析,以協助企業進行資安防護。
Darktrace主要產品為Darktrace Enterprise、Darktrace Industrial、Darktrace Cloud、Darktrace SaaS、Darktrace Antigena。其中,Darktrace Enterprise為企業一般網路環境、虛擬環境、雲及SaaS服務。Darktrace Industrial則進一步可以偵測異質設備網路環境。Darktrace Cloud針對Amazon、Google Cloud Platform、Microsoft Azure等雲端環境。Darktrace SaaS則針對Salesforce、Dropbox、Office 365等SaaS服務。Darktrace Antigena則可針對偵測狀況,立即採取隔離或其他行動方案。
Darktrace主要運用非監督式的機器學習,去學習正常與異常網路行為,快速判斷哪個載具有異常網路活動或使用者異常活動並予以提出。Darktrace Enterprise Immune System技術不需要訓練資料、歷史活動模式、病毒特徵簽名,可以快速地找出有問題的載具。Darktrace 認為這樣的技術像人類的免疫系統,不須事先知道活動特徵,就可以知道病毒入侵。
Darktrace Enterprise Threat Visualizer則是利用3D視覺化技術展示企業整體的異常網路活動、載具以及異常分群狀況,並能重播網路異常活動狀況。例如,Darktrace Enterprise偵測勒索病毒發現以下三個連續行為:
1.某員工載具不斷地向外網路連結。
2.載具下載不明exe檔。
3.開始針對檔案進行加密行動。Darktrace Antigena在進行加密的29秒後,立即阻止其行為。
Perimeterx重視防護網站被惡意軟體侵入、盜竊資訊等。Perimeterx主要可以判別瀏覽、登入網站者是否為機器人(Bot程式)而予以阻擋。
Perimeterx主要架構是讓企業可以在電腦網頁、智慧手機網頁或其他應用程式中,放入Perimeterx的應用程式元件。該應用程式元件會把使用者或機器人的瀏覽行為,送入Perimeterx雲端進行學習行為,並透過管理介面可以讓企業看到使用者合法或機器人非法的網站瀏覽行為。Perimeterx強調其技術重點在於學習瀏覽行為,包含:瀏覽者網路來源、瀏覽者瀏覽器特徵以及使用者的點擊、瀏覽時間的行為特色等。
Perimeterx產品分為網頁防禦、智慧手機防禦、API防禦與機器人分析。其中,機器人分析不僅作為資安防護,更可以積極地協助分析網站的使用者體驗、轉換率、行銷效果等,協助企業發展更有效的電子商務。
不論是端點防護或是網路行為分析,新創AI資安公司均強調如何運用人工智慧、機器學習技術來發現未知病毒行為,以因應資安攻擊模式愈來愈複雜、惡意軟體不斷地發展的環境。網站防護同樣是分析無法規則化的機器人搜索或攻擊網站行為,進而防護之。
人工智慧、機器學習技術可以透過持續蒐集的資訊安全事件、網路行為進行關聯、分析,以判斷是否有潛在未知病毒的攻擊或惡意網站瀏覽行為。一旦確認新型病毒,則可將行為模式作為個案,以更快速地偵測攻擊行為。
除了偵測未知病毒外,如何建議資安人員採取防護行動或是能自動防護,則是AI新創產品進階的功能。例如,CrowdStrike具備防護建議、Darktrace則提供Antigena產品單獨販售智慧防護建議。AI新創產品可以透過專家知識、專家防治行為學習,以強化防治建議與防治自動化技術發展。
