企业网络威胁防护成为一项越来越大的挑战。有针对性的攻击能够带来敏感数据丢失、经济损失、名誉损失和诸多其他风险。同时,先进的攻击技术不断加速涌现和发展。赛门铁克的研究表明,2014年,每6家大公司中有5家是有针对性攻击的受害者,比上一年度增长了40%;估计每天有100万个新的恶意软件威胁产生。
今天的攻击者往往有充足的资金以及某些组织的支持。这些攻击者具有高隐密性和持久性。在给防御系统和关键数据带来损害的同时,他们创造新的技术来隐藏自己。攻击者的目标已经远远超出诸如盗用信用卡和Netflix帐户等有限经济回报的范畴。他们破坏电网;以勒索软件使医院系统脱机;以欺骗性、有针对性的攻击影响政治结果;扰乱金融市场体系,以实现其经济、黑客行动主义、政治以及民族国家网络攻击和防御等目标。
为了对抗这些日益增长的威胁,企业需要一个智能的下一代威胁防护解决方案——它不仅仅具有一两种功能,而是提供终端到终端的保护。
在赛门铁克,我们专注于多维机器学习和深入学习等领域,开发出最智能的下一代威胁防护系统。稍后将更详细地介绍赛门铁克如何以这些技术引领行业,但是首先,让我们来了解下一代威胁防护系统的概念。
我们如何定义下一代威胁防护系统
关于下一代威胁防护系统的真正含义,似乎存在很多疑惑。现在,让我们来揭开其中的一些神秘真相。
为了帮助客户和业界理解新一代威胁防护的意义,赛门铁克最近阐释了企业在下一代智能威胁防护解决方案中可能获得的益处。
例如,赛门铁克下一代威胁防护系统的功能包括:
- 以多维机器学习、高级漏洞防御和强化阻止高级威胁和零日攻击;
- 以赛门铁克的全球威胁分析和威胁专家研究员提供的实时情报防范主动攻击;
- 使用最新单一代理EDR技术对高级攻击进行深度取证和快速补救;
- 高性能和低误报。
这四个功能是真正的下一代威胁防护系统内涵和定义的最重要的构件。
多维机器学习,防范高级威胁
多维机器学习如何帮助保护您的企业呢?
机器学习(ML)是一类可以通过对大量数据的进行自动分析以学习概念的算法。许多安全公司使用ML“分类器”来检测新的攻击工件,如恶意文件或URL。例如,要建立一个恶意文件分类器,它们可能会收集大量合法和恶意软件的文件,并对其进行分析,以提取他们的行为(例如,该程序会尝试在系统目录中删除文件,或该文件会试图改变安全设置,等等)。然后,它们会将这些训练数据馈入ML系统,该系统会学习与每类软件相关的行为特征,从而辨别正常文件和恶意文件。
这些系统的问题是,其决策是基于攻击者完全控制下的行为。例如,攻击者可以简单地使用不同的行为序列来改变它们的威胁,现有的ML分类即可能无法检测到威胁。或者攻击者可以调整其威胁的二进制文件的大小和穿梭于数个指令,则新的威胁将不再触发分类器。最终,这种对攻击者可控制的功能(如行为或软件指令)的单一依赖性,使这些ML系统极易受到攻击。
赛门铁克的机器学习方法有什么不同?
通过多维度机器学习,赛门铁克开辟了一种全新的安全方法,它结合了传统的功能(如上述的那些)和一种被称为“群众智慧”的云方法,后者通过分析软件文件和互联网URL在赛门铁克数亿活跃客户的采用模式(Adoption Pattern),以计算其安全性。
通过在全互联网分析赛门铁克的客户与软件文件和网站之间的万亿级次实时、日常交互,赛门铁克的ML系统了解哪些软件和网站由不同的用户-超级用户、新手、企业、经常受到攻击的用户、不同地理区域的用户等群体采用,以及哪些软件和网站被这些群体回避。这种考察采用和避免软件和网站的用户环境而非软件/网站本身的结构或行为方式的方法,提供了对产品安全性的完全独立评估,而且几乎不可能受攻击者控制。赛门铁克基于采用情况的ML系统知道文件是已被成千上万的用户采用,还是从未被任何用户采用。它知道一个文件是否为超级用户所避免,或被频繁感染的用户所采用。这些互动为新文件或URL的安全性提供了一个巨大语境。
赛门铁克采用这种基于采用情况的ML方法,结合采用那些考虑软件文件(或URL)的行为和结构的较为传统的ML方法,开发出其独特的ML系统。这种系统既考虑软件文件(或URL)的功能,又考虑其与赛门铁克客户的实时互动,因此对攻击的防御能力更强,也更为敏感(同时能减少误报)。
对于那些完全依赖于没有云组件的终端ML的安全公司而言,另一个问题是整个软件栈都可能被攻击者在终端上操纵。赛门铁克根据需要在终端和云端使用ML,不受攻击者控制,同时优化规模和速度,使其在各种企业环境中有效。
同时,拥有世界上最大的传感器网络的赛门铁克具有独特的优势,便于提供这种创新的ML方法。没有任何其他供应商有计算这种基于语境的排行所需的全球可见性。
更好的数据,更好的保护
数据和算法是“调谐”保护的关键;获得更好的数据是第一个要解决的问题。如果没有合适的数据,您可能会丢失能见度而无法外推。如果没有合适的算法,就无法聚焦于相关的数据。最后,如果没有合适的专家,就无法从这些数据中获得所需的信息。幸运的是,赛门铁克结合了所有这些特性和功能。
那么,这一切对签名定义意味着什么?
随着主动机器学习技术(例如云智能)的发展,签名定义的大小已显著降低。打个比方,它们在浏览网页时的流量不超过下载几个图像文件的大小。
除了机器学习,还有深度学习
赛门铁克正在通过深度学习将机器学习更推进一步。
简单而言,深度学习是受人脑启发、利用人工神经网络的最先进的机器学习技术,其学习方式类似于我们人类学习的方式。深学习网络能够从原始数据输入逐步提取到更高级别的概念。正是这种分层的泛化能力为它们提供了强大的统计特性,从而使它们能够从非常小的标记数据中学习,重建部分输入,检测异常,等等。
赛门铁克拥有先进的机器学习中心(Center for Advanced Machine Learning,CAML),其安全机器学习专家团队从事先进ML技术的研发——其中包括深度学习。
Symantec Cynic——一个在基于云的沙盒环境中应用机器学习的例子
Symantec Cynic是赛门铁克高级威胁防护的一个组成部分,它是一个基于云计算的动态恶意软件分析服务,具有检测高级威胁的能力。与大多数注重于推出各种虚拟机或客户特定图像来触发和检测恶意软件的沙盘分析产品不同,Cynic采用先进的基于机器学习的分析,结合利用赛门铁克全球情报,能够检测到最隐秘和持久的威胁。
如今,28%的先进攻击具备“虚拟机感知”能力,这意味着它们在典型的沙盒系统中运行时,不会暴露他们的可疑行为。为了解决这个问题,Symantec Cynic在物理硬件上执行可疑文件,以揭露那些能够躲避传统沙箱技术检测的攻击。
Cynic以所有这些技术获得检测信息,并向用户提供结论和分析结果以及有价值的威胁情报。
创新思维产生创新成果
作为赛门铁克关于创新的持续承诺的一部分,我们的愿景是打造威胁防护、信息保护、网络安全服务和统一安全分析四大支柱。我们正在开发用于一个收集广阔安全遥测数据的综合大数据分析平台,从中发掘局部和全球威胁,然后将这种洞察力转化为安全结果。我们先进的机器学习和深入学习技术创新是我们这一愿景的重要组成部分。
近日,AV-TEST.org宣赛门铁克终端保护系统获得了“2015年企业终端安全最佳保护奖”。此外,赛门铁克最近在2016年Gartner魔力象限报告三个关键领域获得领导者称号,这些领域包括:数据丢失防护、安全管理服务提供商和终端保护平台。
这些成绩证明,赛门铁克是本领域公认的领导者,以及我们如何通过不断创新推进产业的发展。在为获得这些认可而感到荣耀的同时,我们仍然在专注于最大程度地保护客户的利益:定义并提供真正的下一代威胁防护系统。