有关机器学习的“吹嘘声”不绝于耳,但不管怎么说,机器学习也成为不了万能神器,更不能解决您的所有安全防护问题。我并不是说机器学习不是识别威胁的重要工具,但老实说其只对攻击链(下图)中的具体点有效,而且没有什么工具能百分百有效。
我见过很多描述攻击链及其不同阶段的各种术语。我认为攻击链代表着恶意软件的生命周期。我见过最有趣的方法是使用医学术语描述攻击链:首先设备接触到病毒或恶意软件(入侵),若未加制止,则设备便会受其感染。病毒或恶意软件在感染设备后便会试图蔓延(传播),有时会尝试与其命令或控制中心通讯,或泄露相关信息。在网络攻击中,最理想的结果就是病毒或恶意软件失效(接种)。您在攻击链中发现威胁越晚,则其破坏力就越大,因此最好尽早发现威胁,但最重要的是您能及时发现这些威胁。恶意软件有时会在一个环境中逗留好几个月,收集信息或扰乱公司业务。
与其他防护技术截然不同的是,机器学习的一个特点是您必须对其进行教授。机器学习必须经过训练才能懂得如何精确识别恶意软件,并随后进行不断升级以应对源源不断的新恶意软件。因此,高质量教育至关重要,否则机器学习功能将标出一堆不存在的恶意软件,换句话说,您会得到很多误报信息。
在这种情况下,高质量教育意味着使用大量不断随全球新恶意软件数据一起刷新的数据。说到大量数据,我指的不是只用已知恶意软件对您的机器进行培训,那样的话黑客们会很轻松地躲过这种技术的检测。训练必须使用好坏文件一起执行,并对最新恶意软件和入侵指标(IOC)加以不断更新。优质的机器学习功能使用非常专业的算法和高度训练的分类器,从而学习如何发现最新的恶意软件,但是长期看来,其归根结底还是依赖于数据集的质量。为了能够最准确地发现新恶意软件或未知恶意软件,将机器学习功能发挥出最大价值,您需要不断提供最佳的全球恶意软件数据。
我们也应清楚机器学习或深度学习有很多种类型,即基于信誉、行为和属性的类型。所有类型均对识别恶意软件起着一定作用,都应纳入您的端点保护解决方案之中。
然而,正如我在上面所说的一样,没有什么工具能百分百有效。您可能会考虑使用其他备用工具,并在攻击链后期使用 — 说到最后就是为了消除威胁,您可以不惜使用任何手段。这就是您不能仅依赖于机器学习以满足所有防护需要的原因。您必须确保在恶意软件入侵或尝试对外交流时,您的端点保护解决方案能够对其进行识别和消除。
总而言之,请确保制定最佳的保护方案:
确保您的解决方案尽可能通过全球资源使用最佳和最多样化的数据集,以对机器学习功能加以训练
确保通过全球资源持续更新您的解决方案,以发现最新的未知威胁,并使误报次数达到最少
仅依靠机器学习是不够的,确保使用其它工具以在整个攻击链(见下图)中为您提供保护:入侵防御服务、可靠的签名授权技术、设备和应用控制、内存漏洞利用缓解和定制恶意软件包处理能力
机器学习功能是重要工具,但并不是唯一解决方案。
了解更多有关端点防护的信息,请访问go.symantec.com/sep