訴諸人工智慧資安 及時遏阻駭客惡意行徑
- 魏淑芳
-
近幾年來,不管是譬如進階持續性滲透攻擊(APT)的「針對性威脅」,或重點在於惡意行為橫向移動的「非針對性威脅」,攻擊手法皆持續精進,令企業不堪其擾。資策會資安所技服中心資料分析技術組組長毛敬豪表示,憑藉傳統特徵比對模式,愈來愈難以察覺敵人蹤跡,故需要轉換方式,利用數學模型來運作行為分析,才可望有所突破,因而使得AI(人工智慧)資安躍為時勢所趨。
毛敬豪指出,現階段APT攻擊者「該滲透的都已經滲透」,企業接下來的防護重點,並不在於思考如何防止敵軍進犯,而是設法找出潛藏於內部的鬼網(Darknet),意即以強化內部偵測為首要之務。相形之下,企業今後較常遭遇的新敵人,理應不是APT,而是非針對性攻擊,加密勒索病毒便是典型的例子。
以WannaCry 2.0為例,己跳脫1.0版必須點擊郵件附檔或網站連結的感染模式,而是透過網芳漏洞,從遠端注入惡意程式至本地端,這般情勢著實讓人憂心;主要是因為,無論WannaCry或較早發難的勒索軟體,背後影武者都是地下犯罪組織,而非網軍,如果網軍也「共襄盛舉」,也利用零日漏洞、遠端注入方式發動勒索攻擊,肯定是更可怕的災難。
毋庸置疑,欲戰勝勒索病毒,必須設法在開始進行加密之際,適時加以阻斷,因此需要在端點設備啟用自我防禦機制,持續監測Process與檔案存取行為;然而這般機制,很難藉由防毒軟體來建立,因為防毒軟體採用特徵比對方式,而勒索病毒的變種又快又多,所以特徵碼產出時效,往往跟不上駭客翻新速度,況且防毒軟體大概比對3到4種Pattern,便造成效能急遽惡化,這些盲點,導致一般防毒軟體在面對勒索病毒時,總是屈居下風。
透過SDK與AI 持續分析系統之行為
究竟該如何突破僵局?毛敬豪認為唯一解法就是「行為分析」,他進一步解釋,現今已有地下的犯罪供應鏈,提供漏洞與攻擊工具,但種類不見得很多,駭客通常利用這些有限資源進行加工,做出看似獨特的惡意程式,但不管再怎麼變,都蘊含與源頭一致的關鍵特徵,所以只要掌握威脅情資、抓住這些基本特徵,以此做為基準,再利用AI、深度學習等技術偵測惡意行為,就可望先發至人,在勒索病毒進行加密的當下,及時將之遏止。
足見時值新型態攻擊橫生,加上萬物聯網時代來臨、大幅助長擴散速度,企業處在嚴峻的環境,唯有借助威脅情資蒐集機制、安全軟體開發套件(SDK),及有效快速的AI資安驅動模式(例如On-Chip),才可望明哲保身。
有鑑於此,經濟部以新台幣2億元預算,啟動一項為期4年的資安旗艦計畫,期望鎖定機器感知(滲透測試)、深度學習與資料隱私安全等三大主軸,進行人才培育、技術研發、場域實證與產業推動等相關工作,淬煉台灣自主的資安技術能量。
資策會資安所負責執行上述科技專案,而在推動箇中技術研發任務的過程,鎖定的重點就是威脅情蒐、SDK及AI等關鍵項目,首先開發SecBuzzer情資分析平台,藉此彙集全球資安專業社群的討論議題、美國NVD弱點資料庫、誘補樣本、甚至暗黑網路等情資素材,並藉由AI解析惡意程式基礎架構、追蹤惡意程式的幕後黑手;其次則與業者合作開發SDK核心模組,將此植入終端裝置,而採用這些裝置的企業用戶,可透過API串接威脅情資,有效防禦各種新型態威脅。
