思科：人工智慧革新集成防禦體系

回顧 2017 年的全球安全態勢，惡意軟體的演變是最重要的攻擊動態之一。

基於網路的勒索軟體蠕蟲，毀滅性供應鏈攻擊，偽裝成勒索軟體的破壞性擦除程序惡意軟體——惡意軟體類型和系列的數量與種類不斷增多，這大大削弱了防禦者為掌控威脅而付出的努力，造成其長期處於混亂狀態。但是，防禦者不應陷入攻擊者日常衝突所帶來的混亂，以致無法注意到危機即將來臨時的明顯跡象。

我們建議客戶要密切關注全球各大地區的安全形勢變化，與時俱進，採用自動化水平更高的高級工具（如機器學習和人工智慧），對威脅防禦、檢測和補救進行補充，不斷完善防禦體系。

基於思科 2018 年度網路安全報告（ACR）對於過去 12-18 個月內全球威脅情報和網路安全趨勢的豐富研究成果，我們想與大家分享以下三點重要的觀察，以說明人工智慧和機器學習技術對於當今威脅防禦的重要性：

1

攻擊者將惡意軟體的複雜性和影響力提升到前所未有的程度

各類惡意軟體和惡意軟體家族規模和種類不斷增長，眾多攻擊者越來越善於隱藏其惡意攻擊活動。正如思科研究人員所預測的那樣，攻擊者在 2017 年將惡意軟體提升到了新的水平。基於網路的勒索軟體蠕蟲在發起勒索軟體活動時不再需要人為參與。更糟糕的是還有像 Nyetya 這種偽裝成勒索軟體的擦除程序惡意軟體，它們專門設計用來刪除系統和數據。Nyetya 攻擊活動也是供應鏈攻擊，這是我們的研究人員在 2017 年觀察到的眾多攻擊形式之一。供應鏈攻擊可以迅速影響計算機，規模大且速度快，並且會持續數月甚至數年。

2

不斷增長的加密惡意網路流量成為防禦者絕不可忽視的盲點

思科 2018 年度網路安全報告（ACR）指出，截止 2017 年 10 月，加密流量在全球網路流量中所佔的比例已達到 50%，相較於 2016 年 11 月，加密網路流量增長了 12 個百分點。隨著這一數量的增長，攻擊者似乎正在更多地使用加密技術，作為隱藏其命令與控制活動的工具。我們的研究人員發現，在 12 個月內，檢測到的惡意軟體樣本所使用的加密網路通信增加了三倍；截至 2017 年 10 月，在我們分析的 40 多萬個惡意二進位文件中，大約有 70% 至少使用過某種加密。儘管加密技術有益於提高安全性，但攻擊者採用加密來隱藏命令並控制活動，使得加密流量為惡意軟體的傳輸和控制提供了可乘之機。作為勒索軟體攻破網路抵禦的重要入口，加密流量體量的大量增加，讓防護者很難識別、監控出潛在的安全威脅。

3

防禦者對自動化和人工智慧的依賴程度提升

鑒於惡意軟體將通信隱藏在加密網路流量之內，以及網路內部的惡意人員利用企業雲系統發送敏感數據，安全團隊需採用有效的工具來防止或檢測使用加密技術隱藏的惡意攻擊活動。鑒於此，越來越多的企業探索使用機器學習和人工智慧。這些高級功能可以學習在大量加密網路流量中識別異常模式，並在需要時自動提醒安全團隊進行深入調查。

首席信息安全官 （CISO）接受了思科 2018 安全能力基準研究採訪，在報告中表示，他們迫切需要增加可使用人工智慧和機器學習的工具，並認為他們的安全基礎設施越來越複雜化和智能化。但此類系統生成的大量誤報也讓他們感到沮喪，因為誤報增加了安全團隊的工作量。隨著機器學習和人工智慧技術的成熟，並了解到他們所監視的網路環境中哪些是「正常」活動，這些擔憂逐漸減少。

緊扣三大威脅態勢 思科安全應對之道 —— AI 革新集成防禦

面對日益升級的勒索軟體威脅，不斷增長的加密流量規模，思科將機器學習、人工智慧應用到安全領域，打造深度學習感知、智能協作的創新安全架構，最終為客戶提供有效的安全。

值得關注的是，思科 Stealthwatch 加密流量分析技術可以在無需對加密流量進行解密的情況，運用網路感知分析方法，識別隱藏在加密流量中的惡意軟體。該系統針對加密流量內部的元數據進行機器學習演算法分析，準確定位加密流量中的惡意模式，實現更快更精確的判斷，幫助企業快速確定可能受到感染的設備和用戶，最終提升企業面對安全事件時的響應速度和水平，準確率超過99.99%。

憑藉加密流量分析技術，思科已經成功解決了安全行業所面臨的最艱巨的挑戰，使安全團隊能夠兼顧安全與隱私，並且顯著降低成本。目前，Stealthwatch 已經在全球眾多客戶端實施，成功地幫助企業提升高級安全威脅檢測和調查能力，豐富安全合規檢查的技術手段，加強網路和應用的性能可視化分析監控，全面提高可視化能力和事件響應能力。

思科深知，只有將機器學習和人工智慧應用到安全防禦之中，才能不僅通過已知的威脅來尋找同類威脅，更能通過已知的威脅去發現未知的威脅，甚至通過分析未知的威脅數據來尋找未知的威脅。另一個值得分享的應用是利用機器學習技術檢測可能存在的內部威脅——思科威脅研究人員對於 34 個國家的 15 萬用戶呈現的數據泄露趨勢進行了研究，其所採用的演算法不僅記錄了用戶下載文件的容量，也充分考慮了其他變數，如：下載的具體時間，IP 地址，地點。

在1.5 個月中，這個由機器學習技術驅動的演算法對於每個用戶的異常行為進行了研究，標記的可疑下載用戶占0.5 個百分點。這個數目雖然不大，但這些用戶在1 個半月內總共從企業雲系統上下載超過390 萬份文檔，平均每位用戶下載5200 份文檔。其中，62%的可疑下載發生在正常工作時間之外，40%發生在周末。機器學習演算法有希望對雲和用戶行為提供更高的可視性。如果防禦者能夠在下載方面預測用戶行為，則可節省花在調查合法行為上的時間，還可以介入阻止潛在攻擊或發生數據泄露事件。

作為網路和安全領域的行業領導者，思科擁有得天獨厚的優勢，不斷為客戶推出更強大的端到端的可視性與安全性。

思科擁有非常廣泛的覆蓋不同安全領域的產品和解決方案，這背後是強大的技術支撐；同時，思科利用多個最有效的單點產品，強力打造彼此間的聯防、互聯、協作，最終為用戶呈現的是集成式的防禦架構。

思科不僅通過人工智慧打造了業界獨一無二的加密流量分析技術，使得網路變得更加強大；而且將人工智慧和機器學習技術廣泛應用到集成防禦體系的革新之中，幫助防禦者克服技能和資源上的差距，讓他們更有效地識別和應對已知和新興的威脅。

思科將全球領先的技術成果和實戰經驗引入中國市場，幫助中國客戶構建簡單、開放、自動化且真正有效的安全防禦體系，從而能夠安全地把握全數字化轉型所造就的新機遇。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！