在今日复杂的混合云、物联网时代,企业乃至于个人所面临的资安问题,都更加多变,包括勒索软件锁定物联网设备攻击、网络数位身份遭窃等不一而足;加上近几年来 AI 有着巨大的跃进,并持续被应用在网络犯罪上,对每个人在工作和日常生活上造成极大威胁。面对这个趋势,稍早在今年度的 CLOUDSEC 2018 企业资安高峰论坛上,趋势科技引领业界,发表了以 AI 技术对付新型态资安威胁的多项研发成果。
资安防护靠AI,填补人类缺失
当我们说科技始终来自人性,其实也道出了资安的威胁,往往源于人们的贪婪以及懒散。正是因为人类有许多不可靠的地方,而 AI 软件变得更加主流与开源,网络犯罪分子不仅能藉以将各种手段加速并自动化,更能模仿自然行为,达到网络钓鱼和社交工程的目的。维护资安的一方也必须随时更新具备 AI 能力的资安工具,和网络犯罪者上演不断升级的角力。深耕 AI 领域的趋势科技,便分别针对了企业及个人用户,发展出透过机器学习而强化的资安防护技术。在这次高峰论坛中,趋势科技全球研发资深副总周存貹便分享了几则成功案例,让我们一窥究竟。
- 预防变脸诈骗
“变脸”诈骗(Business Email Compromise,BEC)其实不是新东西,就是像电影《神鬼交锋》的主角用伪造的支票、信件、公司文件游走大型企业榨取高额财物那样,当然电影里 1960 年代的诈骗手法已不是今日高科技防伪技术的对手,但 AI 的进步也让这种诈欺术在数位电子世界卷土重来,被专业诈骗集团用于伪造企业高层的电子邮件。
试想你是公司财管人员,突然接到公司高层的紧急调度大量资金的电子邮件,在时间急迫与压力下,真的很难不被骗倒,让歹徒得逞。趋势科技用 AI 对付 AI,以机器学习分析企业高层的写信风格,例如常用大写或者小写、是不是有习惯性拼错字、标点的使用、句型结构的特性等等,只要分析 500 封信就可以整理出风格模型,鉴别出信件是不是真的来自某高层之手。
- 垃圾邮件分析
其实趋势科技将机器学习应用在资安上早就不是第一次了。打从 8 年前 AI 还不流行时,便已率先用来分析垃圾邮件。当时需要分析的邮件已经达到数亿封,无法再借由传统规则模式(rule based)的技术来进行,所以趋势科技转向机器学习技术。作法是使用 SVM(support vector machine,支援向量网络) 建立模型加以训练,成效卓著,可过滤掉 99.9% 的垃圾邮件,不用再辛苦依赖人工分析、编写新规则。周存貹表示,这为他们公司自身降低大幅营运成本。
- 宏病毒侦测
类似的应用也发生在 Office 软件的宏(macro)病毒侦测。宏千变万化,稍微改一下就能让防毒软件查不出来。过去传统作法是用虚拟机器做“沙盒”,把待检测文件放在沙盒里,下各种条件看看会不会触发。然而沙盒的操作研判也是仰赖人力,每天又有那么多邮件的夹带文件,需要一一丢入沙盒检测,量实在太大了。
而机器学习有个关键就是下标记(label),正好沙盒检测的结果就是绝佳的标记。所以被沙盒检测出有问题的文件档,就可以标成有害文件给 AI 学习,逐渐累积成有效模型,最后抽取有宏病毒的特征的给 AI 研判。当结果都跟沙盒的人工判断结果一致,往后每个文件就不用再送沙盒作耗时分析。
资安升级让假新闻退散
另外跟一般人比较有关系的,是新推出的“防诈达人(Dr. Message)”服务,针对LINE层出不穷的假讯息、假新闻作警报。近期爆发的伪麦当劳 35 周年庆诈骗案,就让总计有 5.6 万人上当为它按赞或转发,导致大量民众个资外泄以及麦当劳员工疲于奔命。这样的案例其实是很严重的警讯,代表将来可能被有心人用来瘫痪大型企业甚至政府机关的运作。
LINE 上每天的讯息真真假假多如牛毛,其实相当适合 AI 施展。趋势科技以自然语言处理的技术,进行语意分析,加上机器学习,建立出分辨假讯息的模型,目前已有不错的初步成效,不论是所谓的优惠资讯、免费贴图或是限时下载,都可以加以过滤。
趋势科技的资安经验:小心黑天鹅,远离灰犀牛
话说回来,人类光是靠 AI 就能全面处理资安问题吗?其实不然。资安有很多层级,各需要不同的技术,机器学习只是其中的一层。整体企业资安从最底下的硬件芯片端一直到云端,纵使各层次都有最好的防护,最基本的物理攻击还是难防(硬件本身缺陷以及直接接触硬件)。
因此,要填补资安漏洞,最要紧的还是在于人们的素质。趋势科技资安事件应变专家邱豊翔在高峰论坛中便强调,企业要体认到“没有 100% 的安全”,只能重视资安事故应变,然后“小心黑天鹅,远离灰犀牛”。
黑天鹅效应指的是:“发生的概率超低,一旦发生却又会带来极大冲击。”像 911 事件就是知名的例子。而灰犀牛效应则是“很容易防范或近在眼前的问题,却被忽略而导致超乎预期的失败。”如果员工总是抱持“我才没有那么倒楣”的想法、忽视潜在威胁,灰犀牛就会比黑天鹅还要更可怕。近期台积电晶圆厂爆发机台中毒事件就是一例,只因员工或者外包商的不慎(也可能是便宜行事)就瘫痪了整个生产线。
既然“人”还是占了决定性的因素,所以一间企业必须以人为出发点来落实资安防护。如强化高阶资安人才、落实资安事故演练,养成员工具备正确的观念等等。而且即便采用了 AI 等新技术,但是在导入操作或是风险监控上,也还是靠人来进行的,当面对更加多变以及层出不穷的威胁,企业的资安团队将越来越分身乏术,又该如何是好呢?
全方位风险管理,VR 战情室助掌握关键报告
现代企业要监测的机器数之不清,在监控屏幕上,远端上百台的机器数据与连线管控呈现在传统 2D 屏幕已经密集到了极限。为了让资安长(CISO)晚上好睡一些,趋势科技设计了“VR 战情室”来解决这个课题。我们原本以为 VR 只能玩游戏,但只要亲自戴上这款 VR 头盔就能发现,透过 VR 确实能解决监控大量机器时即时“舆情”爆炸的窘况。资料呈现与放置除了左右上下,又增加了远近前后的维度。VR 战情室资料的呈现上,融合了科幻电影与动画想像近未来的电脑视觉界面概念,加以具体可操作化,让视觉呈现更有效率、易读,伴随着即时动态的变化,使资安人员不再分神,可以聚焦在关键报告。
▲Rik Ferguson 演讲提到 CISO 资安长是当今企业中唯一晚上睡不好的高层
我们必须意识到,如今科技的快速进化,使网络攻防的优势通常处在攻击的一方,由 AI 所展开进行的网络犯罪飘忽难防,而黑天鹅或灰犀牛(或是简单点叫猪队友好了)也无所不在。但只要透过 AI 工具的导入,加强分析侦测能力,以及 VR 战情室帮助资安团队提升监控系统;再加上提升人们的危机意识,随时妥善准备,VR 的逻辑结合 AI 防护,资安人员的即战力也能因此全面升级。
(图片来源:科技新报)
