AI助力黑客，下一代防火牆將力不從心

E安全9月4日訊 隨著端對端加密日益受到重視以及人工智慧（AI）的崛起，企業的安全產品需與時俱進跟上當今的威脅形勢。雖然下一代防火牆（NGFW）仍能為企業安全解決方案提供關鍵部件，但卻不會再提供「一層保所有」的整體解決方案。現如今，黑客知道大多數企業具有NGFW，因此會專註應用層的攻擊，並利用傳輸層安全協議（TLS）混淆連接。這樣一來，黑客就會躲過NGFW提供的防禦，企業需要在邊界網關使用代理連接或將安全下移至端點，從而確保安全。

黑客不斷採用人工智慧

使用從被黑電腦、欺詐雲賬號或開源軟體竊取的計算時鐘（Compute Cycle），例如TensorFlow或OpenAI，構建AI入侵平台不再需要博士級的專業知識或大筆資金。有這樣的優勢加持，網路犯罪分子不必花費數天或數周時間進行手動探測和分析來實施應用層的攻擊。

藉助AI，先前複雜、耗時的攻擊現如今實施起來就如同執行Nmap掃描，之後在網路層CVE資料庫中運行已知漏洞利用一樣簡單。NGFW提供網路層保護，阻止以往的攻擊。而黑客已經在使用應用安全掃描器查找漏洞，例如OWASP Top 10，但掃描輸出需要大量人力來評估大量的誤報。

網路防火牆和黑客攻擊的發展情況

早期的防火牆只會提供簡單的IP地址、協議和埠過濾的訪問列表。而NGFW支持狀態封包檢測（簡稱SPI），並添加了許多其它功能以提供附加安全。

防火牆一般使用超過五年，黑客會利用NGFW的廣泛部署通過HTTPS頭的（TCP）/443網頁瀏覽埠將流量發送出站，因為這類流量可混淆黑客的通信與員工訪問大多數網站的必需通信。由於HTTPS是端對端加密協議，再加上出於對業務效率的考慮，幾乎每個企業都會允許出站。在許多情況下，黑客會通過被劫持的域名發送通信，以避免觸發DNS黑名單擊敗另一個安全層。安全廠商提供Web應用防火牆（簡稱WAF）代理並掃描連接。由於PCI-DSS 6.6 要求，WAF部署主要保護面向公眾的網站，尤其電子商務網站。

邊界安全不夠

黑客通過路過式下載、網路釣魚和其它攻擊利用企業員工進入網路。大量企業和行業未在內網中部署高級保護，黑客一旦進入便能快速拓寬範圍並控制網路。黑客一旦在企業環境拓寬活動，清除工作會相當耗時、耗資。安全專家將這類黑客構成的威脅稱為高級持續性威脅（簡稱APT）。使用被劫持的端點，黑客可在不安全的互聯網連接上通過命令與控制通道推進同步攻擊。員工通常會通過開放的WiFi熱點或家用網路使用筆記本電腦，並未部署高級安全系統。黑客軟體將通信返回至控制台之前，可能會潛伏數天或數周。

隨著攻擊經過數天、甚至數周的蔓延，安全分析師將無法關聯事件，通過「眼不離屏」的入侵檢測方式亦無法識別攻擊，除非安全信息事件管理（SIEM）平台SOC能提供高級關聯。

基於主機的安全誤報會挫敗員工

安全團隊希望提供深度防禦，發出警報或直接阻止攻擊。基於主機的安全軟體能提供重要的層，通過強大的保護限制攻擊者的能力和速度。

微軟Windows和蘋果macOS具備應當啟用或由第三方解決方案取代的內置型數據包，因為基於主機的安全帶來的風險相當大。高級安全設置將觸發誤報，從而影響員工的效率。低安全設置會錯過真正的入侵，導致漏報，黑客就可藉機可利用系統。

企業努力提高員工的參與度和效率，基於主機的安全系統通常會提供最少的配置或一起被禁用。隨著業務線領導與首席戰略官辦公室之間的分歧，大多數組織機構支持業務部門，給予安全團隊足夠的時間自定義調整單個系統，或將誤報、漏報降到最低限度，這樣一來，要將基於主機的安全變成「一層保所有」的解決方案不太可能。

以牙還牙：AI對抗AI

要在經濟承受範圍內阻止AI黑客，企業需要開始尋找並實現自己的AI平台來監控異常，而不是繼續依靠「眼不離屏」的安全監控分析師團隊。許多安全信息事件管理和日誌監控解決方案新增了基本的AI功能。將數據注入系統很關鍵，因為AI無法分析它沒掌握的信息。

例如，如果員工拜訪客戶或度假時，流量則不應當來自辦公室。雖然企業無法竊取計算時鐘創建免費的AI平台，但可以使用谷歌、亞馬遜、微軟提供的一站式服務。想購買商業解決方案的企業可以考慮用AI支持的安全運作與分析平台架構（SOAPA）替代SIEM。

SOAPA實例：

此前，E安全曾發表黑客·大數據·SOAPA 這篇文章，其中提到國內首家定位於SOAPA（安全運營與分析平台架構）的安全公司，蘭雲科技，本月初，這家於2016年成立的公司A輪融資5000萬。而基於AI支持的安全運營與分析平台架構（SOAPA）替代SIEM也正是市場所需。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！