杜絕勒索軟件有法? AI.雲端隔離技術冒起

| 陳裕邦 | 30-06-2016 12:59 | |

從新思維出發有助解決組織與系統問題,包括糾結的資訊保安方案。傳統防毒軟件講求更新病毒定義維持效能,現時則強調雲端連綫即時回應攻擊-原來新晉軟件開發商已決定更進一步,採取類似人工智能(AI)與自動學習科技,甚至有效防衛近期令人聞風喪膽的勒索軟件(Ransomware)。

只需一晚,全球便會有過千種新惡意軟件出現!保安方案商 Cylance 產品部副總裁 Bryan Gale 認為,市場需要全新方法對抗網絡威脅。該公司方案以 Amazon Web Services 雲端平台即場分析數據,更懂自動學習、建立演算法與 SaaS 管理平台。Cylance 會在用戶終端安裝小型軟件,並以類似指紋認證科技,辨識各類惡意軟件(Malware),即使設備未連綫也可執行掃描與清理系統。

指紋辨識行為

Bryan Gale 指此方法有別於常用的軟件代理(agent)架構,因為在舊方法只要用戶 1 星期不更新軟件,所謂代理架構的保護功能基本已失效。指紋認證方式就像分析人類 DNA 一樣,找尋檔案特性及評分,一發現異常會立即隔離檔案,毋須花時間對比病毒資料庫。他強調,在一般運行環境下, Cylance 的軟件只佔 35 MB 記憶體與 1% 中央處理器資源,錯誤比率(False Positive)為 0.4% 左右,比其他同類工具低。

大部分攻擊由終端而起,故 Bryan Gale 稱必須重點保護,並將數據科學與人工智能融入保安方案之中。目前勒索軟件也屬其管理範圍,更指出他們並非成熟攻擊體系,靠指紋認證已可杜絕風險,更有過千種演算法阻止鎖機問題發生。目前 Cylance 已分別進軍新加坡、澳洲與日本市場。

Bryan Gale 表示,指紋認證科技能辨識多種惡意軟件,即使沒有網絡連綫也可以執行掃描與清理系統。

Frank Wiener 表示要革新網絡保安思維,必須從服務供應商出發。

隔離平台保安

沙盒(Sandbox)屬行之有效的惡意軟件監察機制,除時差漏洞(Zero-day)以外,原來有更多值得改革之處。2013 年才成立的 Menlo Security,提出革新隔離平台(Isolation Platform)處理方式,更在今年的 RSA Conference 中獲創新大獎。該公司市務部副總裁 Peter Lunk 指出,惡意軟件威脅其實主要由網頁流出,Menlo 曾統計平均每個網站有 35 組程式碼在背景執行,用戶不知情下隨時中招。

該公司建立以雲端為中心的隔離平台,以容器(container)方式處理所有網頁流量,到達用戶瀏覽器的程式碼將被完全隔離及更改成安全內容,但最終圖像顯示不會有任何變更,用戶終端系統亦完全不受影響。方案 2015 年初推出以來,已有包括「財富 500」銀行及大型傳媒網站藉此隔離具風險的內容。他強調,Menlo 隔離平台與沙盒處理方式不同,因為後者若認為不存在惡意軟件的話,便會讓所有數據和流量放行;當系統之後才發現有漏洞時,用戶終端機器已經直接受害。

目前 Menlo 採用 Amazon Web Services 與富士通(Fujitsu)的雲端平台分析惡意軟件,有害網站流量完全無機會接觸用戶終端裝置。不過此方法也非「滴水不漏」,若惡意軟件經瀏覽器軟件入侵,Menlo 可完全阻止,但假如受感染檔案是由 USB 磁碟或 Dropbox 雲端儲存等途徑抄寫,該保護機制將無能為力。

Peter Lunk 指出,惡意軟件威脅其實主要經網頁流出,隔離平台有助用戶安全使用瀏覽器。

防衛服務冒起

流動終端一般不設防衛軟件,數據流量也未必經過防火牆。Wedge Networks 早前提出 Cloud Network Defense 架構,屬雲端為中心的防衛軟件服務(SECaaS),可望成為主要營運模式,因為並非所有企業與員工有能力與資源處理複雜科技架構設定。

Wedge Networks 市場部副總裁 Frank Wiener 表示,要革新的話,必須先令服務供應商知道它能帶來新商業模式與收入;企業客戶亦毋須再投資網絡保安硬件,只需在現有網絡附加服務即可,毋須增加額外流量。因為同一伺服器可服務多於 1 個用戶,用量超額才再增加處理能力。Wedge 選擇以深層封包檢測(Deep Packet Inspection)與深層內容檢測(Deep Content Inspection)並行,後者為其他廠商完全忽略,假如未完成掃描,系統不會將最後一個封包寄出,用戶自然不會受感染。

Photos:Blue Coat
Source:ezone.hk

 

Page 1 of 21