奧義智慧妙用AI 讓未知威脅快速轉變為已知
- 洪千惠
-
儘管談到資安,早在過去隨個人電腦、網際網路的普及,便已應運而生,絕不算是新議題,但展望今後的數位科技應用時代,多數IT人公認的最大挑戰仍在於資安;為何隨著時間演進、資安產品推陳出新,資安威脅卻變本加厲?主要癥結是,攻擊活動的能見度愈來愈低。
奧義智慧科技共同創辦人叢培侃解釋,新型態資安威脅,甚至已不帶有任何實體病毒,而是循著正常管道、正常流程,輕鬆避開傳統偵測機制,潛入受害企業內部、先搶佔灘頭堡,再利用作業系統內建功能,在不同電腦間橫向移動,逐步探索並竊據機敏資料,然後把戰利品予以打包,以加密方式上傳至外部雲端儲存裝置。
換言之,若像過去一樣,僅偵測單一檔案究竟屬於惡意或善意,已難抵禦新式威脅;欲釐清駭客行為,不能只看檔案,應改變偵測模式,要看一連串的活動軌跡,才足以探測駭客的意圖。例如一支正常的壓縮程式,不會被各家防毒引擎判定為異常,但假使該程式並非處在應存在的目錄,而是移動到其他位置,就意謂背後潛藏風險,可能已淪為駭客的檔案打包工具;以往要想參透箇中玄機,起碼得花上至少兩週的人工調查,確實緩不濟急。
叢培侃認為,既然攻擊者的手法套路已變,更擅於以合法掩護非法,懂得善用雲端儲存當作中繼站,甚至發動無檔案型態、或系統指令型態的攻擊活動,企業就不宜拘泥在過往偵測思維,必須用AI機器學習技術來提升能見度,破解駭客的非法意圖。
藉勢態感知技術,迅速判斷威脅勢態
因此奧義自2017年成立以來,不斷提倡「勢態感知」(Situation Awareness)技術理念,只因面對頑強的威脅,企業的姿態很重要,若僅想著如何把惡意程式100%擋在門外,未免不切實際,理應設想自己一定被攻擊,然後針對潛在危機做迅速的調查、偵測與應變;當發生可疑事件時,企業固然可依既有做法,動員專業人力對大量資安設備日誌進行關聯分析與判讀,但必須耗費可觀人力工時,不如藉助AI-Bot取代專業人力,幫助企業快速提升能量,將未知威脅轉為已知的所需成本降至最低,進而從容因應GDPR等法規所限定的通報與應變時效。
所謂勢態感知,像是飛行者利用駕駛艙內儀表板,感知外部環境變化,做為飛行決策依據;同樣的,企業亦需感知外部的攻擊活動與內部的弱點。至於奧義實踐此事的方式,係於端點裝設感測器,定時掃描與採集Event Log、Process Data與執行檔案的訊息摘要,接著將大量端點資訊拋送到後端調查平台(由奧義或MSSP資安代管服務商負責維運),再由後台系統以增強式學習技術進行「報酬模型」分析,推算每台端點的報酬率,從而串聯一群高報酬率的端點,前後連結成為駭客的活動軌跡(意指駭客眼中最具報酬率的攻擊路徑),藉此補強過去人為判斷的盲點,讓案情水落石出。
雖然奧義推出AI自動化分析平台的時程不算久,但已在市場引發莫大迴響,不僅吸引多家SOC業者成為平台推廣的夥伴,也獲得富邦產險青睞,與奧義合作推出新一代資安險,由奧義協助有意投保的企業做資安健診,俾使企業據此改善資安架構,富邦才進行核保,對企業而言,保費負擔較為低廉合理,假使日後遭駭,則可由富邦理賠損失,並透過奧義協助執行蒐證及應變。
[ 甫於去年底成立的奧義智慧,共同創辦人叢培侃先生將於7/19舉辦的2018雲端資安論壇發表「弱點解析、威脅預測,以AI深度學習發展各式資安創新服務方案」,暢談如何運用「勢態感知」迅速判斷資安威脅狀態,活動完全免費,歡迎MIS、資料庫、營運E化、稽核與法遵等資訊人員報名參加!]
