股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
威胁治理(lǐ) | 基于AI算法发现失陷资产(chǎn) 安(ān)全防护关口前移“智”在必行
发布时间 :2022年10月24日
类型 :勒索软件
分(fēn)享:
防贼最好的方式不是等贼进门后,再锁柜子,而是不应让贼进门。
黑产(chǎn)要实施勒索、挖矿、窃取数据、破坏关键基础设施等攻击行动,攻陷企业内网是首要目标,因此亚信安(ān)全认為(wèi),作(zuò)為(wèi)防守方,及时发现失陷资产(chǎn)并对其进行治理(lǐ),是杜绝现代黑产(chǎn)攻击最為(wèi)有(yǒu)效的方法之一。
制定最有(yǒu)效、最務(wù)实的安(ān)全运营目标
面对APT攻击,等到黑产(chǎn)团伙攻陷了企业内网,开始投放勒索、挖矿、窃取数据、破坏系统这样的实际动作(zuò)再进行应急响应可(kě)以吗?当然不可(kě)以。这样攻击者达成攻击目的的成功率非常高,对于一个分(fēn)工(gōng)明确的勒索团體(tǐ)而言,可(kě)以在一个已攻陷的内网中(zhōng)為(wèi)所欲為(wèi),而防守方却要四处封堵,甚至要把正常业務(wù)停摆来进行应急,非常被动。
对此,亚信安(ān)全认為(wèi),现阶段企业日常安(ān)全运营投入产(chǎn)出比最高的,最有(yǒu)效的方法就是发现失陷资产(chǎn)并及时治理(lǐ)。首先,黑产(chǎn)要实施勒索、挖矿、窃取数据、破坏关键基础设施等攻击行动,攻陷企业内网是首要目标,作(zuò)為(wèi)防守方,及时发现失陷资产(chǎn)并对其进行治理(lǐ),是最有(yǒu)效的杜绝黑客进一步实施攻击的方法。比较形象的比喻就是:想要避免失窃,首先不能(néng)让对方进门。其次,从海量告警中(zhōng)找出真正的攻击者并对其实施封堵,代价很(hěn)大且有(yǒu)效性很(hěn)差,而失陷发现与治理(lǐ)是最有(yǒu)效成本最低的防御方法。
AI算法是最高效的失陷检测手段
防守方需要关注APT攻击的全过程吗?理(lǐ)论上需要,但实际成本很(hěn)高,安(ān)全运营人员需要从海量告警中(zhōng)梳理(lǐ)出事件線(xiàn)索,对每一条告警进行研判,然后从有(yǒu)效線(xiàn)索还原出攻击过程,形成安(ān)全事件。这需要安(ān)全运营人员具(jù)有(yǒu)威胁知识的积累,每个安(ān)全运营人员每天可(kě)处理(lǐ)的安(ān)全事件是非常有(yǒu)限的。那么,如何解决海量的告警線(xiàn)索和有(yǒu)限的安(ān)全运营资源之间的矛盾呢(ne)?
用(yòng)AI辅助人工(gōng)研判
对此,亚信安(ān)全提出用(yòng)AI辅助人工(gōng)研判的方法论把专家经验和知识进行AI建模,并通过XDR解决方案中(zhōng)的信桅高级威胁监测系统(TDA)与信桅沙箱(DDAN),协助用(yòng)户大幅提高失陷检测的效率。
失陷检测实现方法是对资产(chǎn)性质(zhì)、资产(chǎn)被攻击事件、恶意外联、横向移动、攻击投放等数十个行為(wèi)数据进行综合加权计算,為(wèi)每个资产(chǎn)计算出失陷风险指数,当风险指数高于阈值时可(kě)判定為(wèi)失陷。如下图所示:
在威胁治理(lǐ)中(zhōng),亚信安(ān)全的信桅高级威胁监测系统(TDA) 可(kě)利用(yòng)全球威胁大数据分(fēn)析与自动學(xué)习的 AI 检测技(jì )术,检测到IT资产(chǎn)和网络中(zhōng)的所有(yǒu)异常活动,并且通过集成的“梦蝶+怒狮+魔龙”三大引擎,实现复杂攻击、内部威胁和预先感染的判定。其次,通过 AI 分(fēn)析的可(kě)视性提供可(kě)操作(zuò)的见解,将调查结果转化為(wèi)几分(fēn)钟内行动的安(ān)全叙述,实时提供事件调查依据,快速启动补救措施。
多(duō)重恶意文(wén)件检测技(jì )术让勒索病毒无处遁形
「方舟」出海,AI护航
目前,勒索病毒已经正式进入到2.0时代——勒索团伙APT化。由于勒索攻击深度结合APT攻击技(jì )术手段,利用(yòng)“初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索”这6个阶段的持续攻击,致使单一防御安(ān)全體(tǐ)系很(hěn)难应对其“杀伤链”发挥作(zuò)用(yòng)。
世界上没有(yǒu)一个绝对安(ān)全的系统,快速消除威胁的方法就是对抗。而在对抗中(zhōng),武器决定杀伤力和防护力。因此,AI技(jì )术带来的增益可(kě)以归纳為(wèi)两点,第一是针对已知的攻击手法,AI技(jì )术能(néng)够提升识别的精(jīng)度;第二个是AI技(jì )术能(néng)够检测出来一些未知的攻击手法,将勒索治理(lǐ)知识经验同聚类、异常检测等数据挖掘技(jì )术集成,成功化被动安(ān)全為(wèi)主动安(ān)全。
AI技(jì )术与威胁治理(lǐ),尤其是现代勒索治理(lǐ)理(lǐ)念的融合,為(wèi)亚信安(ān)全的「方舟」计划再添新(xīn)一代高精(jīng)“武器”。而在整个「方舟」中(zhōng),“勒索體(tǐ)检中(zhōng)心”则是前沿阵地,亚信安(ān)全的专业服務(wù)人员将提供一套定制化的體(tǐ)检方案,利用(yòng)AI技(jì )术提前发现失陷资产(chǎn),将勒索软件治理(lǐ)工(gōng)作(zuò)“前移”。
分(fēn)享到微信
X