自治恶意软件造成的破坏,可能会带来毁灭性影响。
公司企业和消费者,都想能够更方便更及时地,从越来越复杂的互联设备及网络,获取个性化的信息及服务。这是这种需求,驱动了我们经济的数字化转型。
访问个人及财务信息的在线设备增加,虚拟及多云环境蔓延,以及万物互联的膨胀——从车辆、家居、办公及工业中的IoT设备军团和关键基础设施,到智慧城市的兴起,共同为网络罪犯创建了新的破坏机会。想要获得成功的公司,不仅仅需要领先消费者和雇员一步,还得走在想要利用这些新机会的犯罪分子前头。
黑帽自动化
网络罪犯已经开始在其攻击战术、技术和规程(TTP)中利用自动化和机器学习了。利用自动化前端挖掘信息和漏洞,结合基于人工智能(AI)的分析在后端关联盗取的结构化及非结构化大数据的攻击,已经进入我们的视野。此类数据密集型攻击策略的问题,在于需要大量计算能力。为什么网络罪犯要利用盗取的云服务和公共基础设施,来发起并管理其攻击行动,精炼其恶意软件工具?这就是原因。
安全提供商和研究人员也在用机器学习和沙箱工具分析恶意软件。所以,网络罪犯没有任何理由不用同样的方法来自动标定网络、发现目标、确定设备或系统弱点、执行虚拟渗透测试,然后使用指纹识别和晒图之类的技术,建立并发起定制攻击。事实上,我们正在见证第一波自动化产生基于此类信息的定制代码,以更高效攻击脆弱目标的攻击尝试。
这并非科幻小说。数年前,多态恶意软件就已经在用学习模型绕过安全控制了,且每天能产生百万个病毒变种。但截至目前,这些变体并不怎么高端,也不怎么受控。然而,下一代多态恶意软件,就将能够打造定制攻击,而不仅仅是基于静态算法的简单变形了。他们将引入自动化和机器学习,针对特定目标建立上千个定制攻击。
以毒攻毒
对恶意软件及网络犯罪技术发展的一大关键响应,就是“专家系统”的开发。专家系统,就是使用AI技术解决复杂问题的一系列集成软件及经编程设备的集合。当前就有专家系统使用知识数据库来提供建议、进行医疗诊断,或者做出关于证券交易的明智决策。
专家系统的成功,取决于不同系统协作解决复杂问题的能力。它们要能够共享关键情报,支持可自动协同工作的安全架构,以鉴别并阻止高级威胁。除了在通用安全协议下集成多云及移动设备,未分隔网络及不安全网络也需要同时主动监视并保护起来。这意味着,需要识别出孤立的安全设备,并用可组成更复杂更集成更自动化的系统的设备替换之。
最大的挑战往往是安全中的最后一公里——找出自动化关键安全功能的意愿和方法,比如库存管理、补丁及替换、强化系统、实现双因子身份验证(2FA)。问题就在于,该复杂、多云生态系统,以及横跨物理及虚拟环境的超级集成网络,让上述基本安全操作极端难以达成。因此,使用集成专家安全系统和自动化过程,替代当前靠人工完成的日常工作及基本安全功能,就显得非常重要了。而这项工作,显然落在了AI及自动化技术上。它们需要能够做到:
- 对当前接入网络的所有设备保有库存清单,分析并确定设备漏洞,对设备应用补丁和更新,标记需替换的设备,在更新或替换可用前自动对脆弱设备应用安全协议或IPS策略。还要能够隔离被感染设备,以阻止感染蔓延,并启动缓解修复过程。
- 设备错误配置,是公司企业面临的另一个巨大问题。专家系统需能自动审查并更新安全设备及网络设备,监视它们的配置,在无需人工干预的情况下,随网络环境变化而做出恰当的改变。
- 自动化系统还需能够根据信任等级和入侵指标(IoC)来划分设备,并动态分隔流量,尤其是来自日渐增多的IoT设备的流量。且即便在最灵活多变的环境中,该操作也要能近实时达成。很快,自动化就可使入侵时间与防护时间的差距缩小到毫秒级,而不是目前的小时级或天级,并能成功应对攻击的进化演变,人类应该可以解脱了。
未来几年,随着自动化和可作出自治或半自治决策的工具的使用,我们将看到攻击界面的延伸扩展。一旦AI和自动化无需人工交互就可自主发展,自治恶意软件导致的大规模破坏,就可能造成灾难性后果,永久重塑我们的未来。
为满足这些变化的需求,安全速度及规模将要求自动化安全响应和人工智能的应用,发展并精炼自学习,以便网络可有效地做出自治决策。我们当前偶然产生的网络架构,就可以被特意设计的版本所替代,不仅能顶住重大持续攻击,还能自动适应现在和未来的发展。