日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

安全運營中心(SOC)的分析人員擅長推理和決策，但很少有企業(yè)負擔的起24小時不休息的安全團隊。即使可以，大量的網(wǎng)絡數(shù)據(jù)和告警也令安全人員疲憊不堪，無所適從。而且，在可見的未來，物聯(lián)網(wǎng)設備的爆炸性增長，會有更多的端點、流量、應用……

創(chuàng)新互聯(lián)公司-云計算及IDC服務提供商，涵蓋公有云、IDC機房租用、川西大數(shù)據(jù)中心、等保安全、私有云建設等企業(yè)級互聯(lián)網(wǎng)基礎服務，咨詢電話：18980820575

傳統(tǒng)的安全自動化

SOC通過嘗試用自動化來應對這一問題。如SOAR(安全編排自動化和響應)，試圖通過自動事件的響應手冊(playbook)來協(xié)調(diào)安全設備之間的活動，從而簡化分析師的工作。在某種程度上SOAR是有用的，但SOAR實際上是一個復雜的帶有觸發(fā)器流程圖，只能依據(jù)接收的信號，并根據(jù)所看到的情況做出有限的響應。這些信號要求的數(shù)據(jù)非常嚴格，如基于IoC的簽名，以及處理特定類型惡意軟件的預定義規(guī)則。

這種基于經(jīng)驗的工具，并不能讓傳統(tǒng)的安全自動化系統(tǒng)適應不斷變化的環(huán)境。如企業(yè)內(nèi)部自身基礎設施和業(yè)務行為的變化，以及外部攻擊者不斷發(fā)展的TTP(攻擊技術、工具和流程)。環(huán)境會根據(jù)各種因素發(fā)生變化，包括事件涉及的人員、設備、地點，甚至是一天當中的不同時間。

從自動化安全到自主響應

英國網(wǎng)絡安全公司Darktrace，自2016年開始用一種不同的方法來改變這種狀況。它使用AI來做到自主響應，而不是傳統(tǒng)的自動化安全。兩者的區(qū)別是，前者無需遵循預先定義的一組步驟來處理已知條件。Antigena(Darktrace的自主響應工具)基于的是原生AI，即與自動化系統(tǒng)實施的方向相反，一開始沒有任何規(guī)則或簽名，一切都從“新”學起，來了解用戶機構(gòu)的運轉(zhuǎn)模式。

Antigena通過觀察機構(gòu)的數(shù)字化活動的各個方面來學習，在觀察過程中創(chuàng)建常規(guī)的統(tǒng)計模型。該模型必須包含各種活動的集合，以適應事件的上下文環(huán)境。例如，一名員工的正常行為對于另一名員工來說就可能是異常的。而每位員工都會在公司的基礎設施上留下數(shù)字足跡，Antigena利用這些足跡來建立對上下文環(huán)境的基線理解，采集的數(shù)據(jù)點可以是成千上萬個。

基礎設施的基線形成

通過追蹤各種數(shù)字活動，甚至包括與Checkpoint、Cisco、Fortinet和Palo Alto等其他安全工具的結(jié)合，以觀察用戶自身網(wǎng)絡上發(fā)生的事情，全面了解正常的訪問行為。如觀察員工的電子郵件互動，從郵件的內(nèi)容和相應而創(chuàng)建的元數(shù)據(jù)中學習。AI在郵件安全中的應用尤為普遍，因為電子郵件是網(wǎng)絡攻擊最為常見的路徑之一。

舉個典型例子，當某企業(yè)的一名高管收到網(wǎng)絡釣魚電子郵件時，Antigena便會發(fā)現(xiàn)其中的異常之處，包括發(fā)送者和接受者的身份，郵件中隱藏的URL等，最終導致自主響應系統(tǒng)的懷疑，防止進一步對其他基礎設施的侵害。

除了電子郵件，Darktrace的自主人工智能還包括觀察客戶的云端行為，如監(jiān)視SaaS應用程序中的活動，以及混合基礎設施中發(fā)生的事情。在一個真實案例中，一名試圖報復公司的IT管理員從公司的SaaS帳戶下載了敏感文件，然后使用一個得到IT部門批準的文件傳輸賬戶(VPN)，以逃避文件傳輸監(jiān)控把文件悄悄傳送到家里。然而，Antigena發(fā)現(xiàn)這個SaaS賬戶下載的文件過大，不僅阻止了文件上傳，還禁止了這名心懷不滿的員工使用VPN進行的遠程連接。

自主響應的處理層級

不了解上下文的自動化響應工具，往往會導致業(yè)務停擺的風險。自動主響應工具能夠把可疑活動置于上下文中，了解事件的細微差別，判斷哪些行為能夠在維持正常業(yè)務運轉(zhuǎn)的同時控制風險。

最簡單的，在某些情況下，一起事件可能根本不需要自主響應?；蛘呷斯ぶ悄芸赡苤皇峭ㄟ^將附件轉(zhuǎn)換為無害的文件類型，就可將攻擊消除。

還有一些情況，Antigena只需阻止一封本地化攻擊的電子郵件。例如在上面的那起“心懷不滿的員工”例子中，Darktrace的系統(tǒng)雙重鎖定了鏈接，避免任何人點擊它，并將電子郵件移動到高管的垃圾郵件文件夾中。

最極端的處理，當某個服務器正向向一個它以前從未聯(lián)系過的目的地發(fā)送信息，Antigena可能會隔離這臺服務器，阻塞其所有流量，以避免該服務器成為攻擊其他企業(yè)內(nèi)部資產(chǎn)的“橋頭堡”。

自主響應之于攻擊鏈

任何人工智能的自主反應都無法做到“開箱即用”，Antigena也不例外。它需要對用戶企業(yè)的運轉(zhuǎn)流程有更多的了解之后，才能逐漸開始發(fā)現(xiàn)異常行為，并以所謂的人類確認模式推薦緩解措施?？蛻糁挥性诔浞值男湃蜗到y(tǒng)后，才會開啟主動模式，該模式提供完全無需人工干涉的自主響應。

以下是自主響應如何緩解典型的勒索軟件事件：

(1) 初始階段

在一次勒索軟件攻擊中，“零號患者”(即第一位受害者)從一臺服務器下載了一個可執(zhí)行文件，這臺服務器該企業(yè)網(wǎng)絡上所有的設備都從未有過聯(lián)系。這時自主響應系統(tǒng)就會將其標記并記錄，由于系統(tǒng)尚未開啟主動模式，攻擊進入下一階段。

(2) 聯(lián)系C2

勒索軟件感染的下一個階段通常是與C2服務器進行通信，以獲取進一步的指示。通常受感染的設備通過GET請求與C2服務器通信，并使用自簽名的SSL證書加密與其他計算機的通信。這時，為了保護企業(yè)網(wǎng)絡中的其他資產(chǎn)，Antigena此時介入并阻止來自該感染設備的所有流量。

(3) 橫向移動

橫向移動是指勒索軟件在企業(yè)網(wǎng)絡中試圖擴展，以在其他設備上建立立足點，并找到目標數(shù)據(jù)。在本案例中，受感染設備開始掃描其他內(nèi)部設備的RDP和SMB端口，如果找到漏洞，就會建立連接并繼續(xù)用惡意文件感染這些設備。如果Antigena開啟了主動模式，它首先就會阻止攻擊者的SMB連接請求，如果發(fā)現(xiàn)不斷的連接嘗試，就會阻斷該設備的所有通信。

(4) 數(shù)據(jù)加密

加密用戶的數(shù)據(jù)是勒索軟件實施勒索前的主要目標(有的攻擊者已經(jīng)開始以公開數(shù)據(jù)進行勒索)。在一起基于零日漏洞的勒索軟件攻擊案例中，Antigena注意到網(wǎng)絡上的一臺機器正在訪問SMB上共享的數(shù)百個Dropbox文件，并實施加密。Antigena的權限能夠阻斷所有異常連接五分鐘，利用這幾分鐘的時間，再將被操控的設備與網(wǎng)絡隔離，留出充分的時間去調(diào)查取證。最終，這個利用零日漏洞的勒索軟件被AI切斷的時候，僅加密了四份文件。

結(jié)語

自主響應是一種很有前途的技術，它利用機器的速度和規(guī)模來捕獲攻擊。由于未來可能的變化趨勢，它將得越來越重要。另一方面，安全專家也認為，尖端復雜的攻擊也將變得越來越自動化，甚至也是自主的。

Darktrace與麻省理工學院技術評論(MIT Technology Review)聯(lián)合開展了一項針對300多名C級高管的調(diào)查，超過三分之二的人表示，他們預計人工智能將成為仿冒和有針對性的網(wǎng)絡釣魚工具。超過一半的人擔心使用自主技術的更加高效的勒索軟件。也許，唯一的出路就是“用自主對抗自主”了。

文章名稱：自動化響應不是人工智能，自主響應才是
文章轉(zhuǎn)載：http://www.5511xx.com/article/dpjccpj.html