企業遇駭客攻擊怎麼解?賽門鐵克用機器學習防堵資安威脅

2016.11.25 by
郭芝榕
郭涵羚攝影
新科技不斷進展,駭客攻擊的手法也不斷翻新。2016年以勒索軟體所造成的金錢和重要資料損失最令企業和個人困擾,防毒軟體卻不怎麼管用。人工智慧機器學習可以怎麼防堵未知的惡意程式?

新科技不斷進展,駭客攻擊的手法也不斷翻新。2016年最大的資安威脅是什麼?以勒索軟體所造成的金錢和重要資料損失最令企業和個人困擾。

根據賽門鐵克網路資安威脅調查報告,2015年有65%的目標攻擊是針對中小企業,盜取企業重要的資訊。員工自攜裝置(BYOD)的辦公文化,成為駭客最好「下手」的管道,也讓企業在端點防護得更加費心。

台灣賽門鐵克公司總經理莊昊龍指出,許多網路犯罪者都從端點下手,主要原因有兩個,因為端點是人在使用,可以用很多方式突破人的習慣,引誘人點擊、下載惡意的軟體。其次,因為微軟Windows系統無所不在,系統出現的漏洞,讓駭客有機可趁。「防毒軟體無法對勒索病毒和網路攻擊起防護作用!」莊昊龍說。

賽門鐵克發布端點防護產品的重大更新版本SEP 14,台灣賽門鐵克首席技術顧問張士龍說,過去用防毒軟體更新病毒碼的方法,已經不太能完全面對駭客攻擊了!因為一天就可能超過100萬支惡意程式,只能透過機器學習,才有辦法防堵未知的惡意程式。

以往面對駭客的方式,光是發現漏洞、公開漏洞、發布修補程式、套用修補程式,就要費時1個月,遭遇攻擊的時間拉得很長,駭客早就偷走許多公司和個人的重要資料了。

張士龍提醒,一種防護方式已經不夠用了,面對越來越多的未知攻擊,在端點有許多技術要加強,必須加進人工智慧機器學習的技術,才有辦法做到多層次防護。

特點一:機器學習面對未知威脅

張士龍表示,賽門鐵克從2008年就開始做機器學習技術,直到現在才真正結合進產品使用。賽門鐵克宣稱它目前有全球最大的威脅情報網路資料庫,全球有9個緊急應變中心,在157國家有5,700萬攻擊偵測器,保護1.75億消費者和企業端點。

賽門鐵克投影片

至於,如何訓練機器學習技術?賽門鐵克每天掃描數十億筆電子郵件流量,每天分析超過2,500萬個檔案,不管好檔案、壞檔案,每個檔案取得155個檔案屬性,讓機器學習。也能發現最新的攻擊模式,同步更新在所有用戶端。光是2015年,賽門鐵克就發現4.3支億惡意程式。

「先前是偵測未知病毒的準確度是43%,現在已提升到87%。」張士龍說,甚至不用透過病毒碼比對,只用舊的病毒碼,就能偵測到未知的資安威脅。

郭涵羚攝影

特點二:模擬器揪出惡意程式

張士龍說,現在有很多攻擊會透過另外的程式包裝,約占80%,所以如果是透過單純的病毒樣本比對,不見得可以識別出它是惡意程式,可能會被辨識成新的惡意程式。

以前常會說要在企業內部網路環境裝一個特殊的隔離環境「沙箱(sandbox)」,把疑似惡意程式的程式放在沙箱中執行,避免惡意程式直接感染內部環境。

張士龍解釋,賽門鐵克在端點上用模擬器來驗證惡意程式,由於沙箱較占效能,而且有許多惡意程式都有繞過沙箱的機制,所以賽門鐵克先把程式「脫殼」,用反組譯(decompile)的方式還原每支程式的程式碼,再去比對病毒碼資料庫,才能真的發現惡意程式的真面目!

特點三:即時雲端查詢技術

防毒軟體仰賴病毒碼更新,導致病毒碼的檔案越來越大,讓使用者在自己電腦或行動裝置使用時會有效能的問題,速度很慢!賽門鐵克即時雲端查詢技術,可以把常用的病毒碼放在端點,很久沒用的病毒碼放在雲端,使用者不用每天更新所有的病毒碼。最終可以減少70%頻寬使用,提升15%掃描時間,效能提高15%。

特點四:開放API做協同聯防

賽門鐵克今年花46.5億收購Blue Coat之後,讓賽門鐵克可以做到端點和閘道的聯防,開放端點的API,讓企業自己去接其他防護技術,讓閘道和端點的病毒碼互通,達到所有設備的「聯防」效果。

面對資安威脅時,入侵、感染、散布、預防四個階段的環境越來越複雜了。
賽門鐵克投影片
延伸閱讀

每日精選科技圈重要消息