面對愈來愈多傳統偵測技術難以發現的未知型威脅,新式資安機制大多會搭配沙箱技術執行模擬執行取得入侵指標,甚至以近年來相當熱門的機器學習演算分析來輔助偵測。
Juniper Networks亞太區產品技術總監梁定康指出,去年Juniper併購取得新創公司Cyphort,擁有了可檢查未知型攻擊的機器學習演算法專利技術,相較於長期以來透過特徵碼分析比對模式,更增添動態偵查能力,可進一步掌握異常行為。
 |
| ▲ Juniper Networks亞太區產技術總監梁定康強調,機器學習僅為資安眾多功能項目之一,同樣須搭配HoneyPot、沙箱等技術,Juniper採以多層次技術分析網路封包,來判斷與緩解攻擊威脅。 |
Cyphort的偵測引擎可察覺狙殺鏈中五個重要滲透活動,包含弱點攻擊(Exploit)、下載、安裝、回呼中繼站、橫向移動。梁定康說明,透過蒐集取得的資料經過引擎執行分析,可用以偵測攻擊行為、類型、風險評估資訊,「機器學習演算輔助分析對於資安領域效益極高,例如Google於2017年3月宣布收購美國數據建模與分析競賽平台公司Kaggle,二年前曾與澳大利亞電信(Telstra)合作舉辦招聘競賽,由澳大利亞電信提供大數據讓參賽者釐清異常網路流量,分數最高者可獲得聘用,都是例證。」
為了降低實作機器學習演算法的撰寫門檻,相關工具亦隨著應用需求增加持續發展,例如Azure Machine Learning Studio視覺化介面,內建不同應用情境所需的演算法,使用者可匯入資料執行模擬分析,評估最合適的演算法技術,建立可精準辨識的資料模型。
Juniper提供的技術也是結合高階統計學與機器學習演算法,能判斷究竟是攻擊行為,抑或只是網路連線錯誤。梁定康進一步說明,運行方式是從網路封包中解析取得所有資料,採用機器學習資料模型予以分析,其中即運用Cyphort專利演算法技術,其包含大約五千個特徵功能、超過十萬筆資料,以監督式訓練模型來建立可判斷攻擊行為的能力,並可進一步判別類型與風險等級。
至於端點環境的資料來源,Juniper可透過整合第三方合作夥伴的方案來取得,例如安裝Carbon Black、CloudStrik等代理程式,蒐集取得端點日誌檔案,讓引擎運行偵測分析。
機器學習演算模型有兩種提供方式,可採取雲端服務透過網路流量導向雲端平台執行檢查,至於內部機敏資料較多的企業或組織,也可選擇自建JATP(Juniper Advanced Threat Prevention)設備,同樣可運用機器學習演算法(SmartCore分析引擎),以沙箱模擬分析技術檢查網路。之後IT管理者可透頁介面報表,深入查看統計偵測到的威脅資訊,從中取得整個狙擊鏈活動週期相關資訊。
「在管理方面可透過Contrail Security單一平台,執行跨雲平台的控管,例如配置存取權限、應用服務運行流程等機制;抑或是搭配AppFormix蒐集設備產生的資料,以監看整體運行狀態,不僅是網路環境,同時也可分析使用者存取應用程式的行為,並且產出統計報表。」梁定康說。