莊敬賢

　　回顧2017年的全球安全態(tài)勢(shì)，惡意軟件的演變是最重要的攻擊動(dòng)態(tài)之一�；�于網(wǎng)絡(luò)的勒索軟件蠕蟲(chóng)，毀滅性供應(yīng)鏈攻擊，偽裝成勒索軟件的破壞性擦除程序惡意軟件——惡意軟件類(lèi)型和系列的數(shù)量與種類(lèi)不斷增多，這大大削弱了防御者為掌控威脅而付出的努力，造成其長(zhǎng)期處于混亂狀態(tài)。但是，防御者不應(yīng)陷入攻擊者日常沖突所帶來(lái)的混亂，以致無(wú)法注意到危機(jī)即將來(lái)臨時(shí)的明顯跡象。我們建議客戶(hù)要密切關(guān)注全球各大地區(qū)的安全形勢(shì)變化，與時(shí)俱進(jìn)，采用自動(dòng)化水平更高的高級(jí)工具（如機(jī)器學(xué)習(xí)和人工智能），對(duì)威脅防御、檢測(cè)和補(bǔ)救進(jìn)行補(bǔ)充，不斷完善防御體系。

　　基于思科2018年度網(wǎng)絡(luò)安全報(bào)告（ACR）對(duì)于過(guò)去12-18個(gè)月內(nèi)全球威脅情報(bào)和網(wǎng)絡(luò)安全趨勢(shì)的豐富研究成果，我想與大家分享以下三點(diǎn)重要的觀察，以說(shuō)明人工智能和機(jī)器學(xué)習(xí)技術(shù)對(duì)于當(dāng)今威脅防御的重要性：

　　各類(lèi)惡意軟件和惡意軟件家族規(guī)模和種類(lèi)不斷增長(zhǎng)，眾多攻擊者越來(lái)越善于隱藏其惡意攻擊活動(dòng)。正如思科研究人員所預(yù)測(cè)的那樣，攻擊者在2017年將惡意軟件提升到了新的水平�；�于網(wǎng)絡(luò)的勒索軟件蠕蟲(chóng)在發(fā)起勒索軟件活動(dòng)時(shí)不再需要人為參與。更糟糕的是還有像Nyetya這種偽裝成勒索軟件的擦除程序惡意軟件，它們專(zhuān)門(mén)設(shè)計(jì)用來(lái)刪除系統(tǒng)和數(shù)據(jù)。Nyetya攻擊活動(dòng)也是供應(yīng)鏈攻擊，這是我們的研究人員在2017年觀察到的眾多攻擊形式之一。供應(yīng)鏈攻擊可以迅速影響計(jì)算機(jī)，規(guī)模大且速度快，并且會(huì)持續(xù)數(shù)月甚至數(shù)年。

　　思科？ 2018年度網(wǎng)絡(luò)安全報(bào)告（ACR）指出，截止2017年10月，加密流量在全球網(wǎng)絡(luò)流量中所占的比例已達(dá)到50%，相較于2016年11月，加密網(wǎng)絡(luò)流量增長(zhǎng)了12個(gè)百分點(diǎn)。隨著這一數(shù)量的增長(zhǎng)，攻擊者似乎正在更多地使用加密技術(shù)，作為隱藏其命令與控制活動(dòng)的工具。我們的研究人員發(fā)現(xiàn)，在12個(gè)月內(nèi)，檢測(cè)到的惡意軟件樣本所使用的加密網(wǎng)絡(luò)通信增加了三倍；截至2017年10月，在我們分析的40多萬(wàn)個(gè)惡意二進(jìn)制文件中，大約有70%至少使用過(guò)某種加密。盡管加密技術(shù)有益于提高安全性，但攻擊者采用加密來(lái)隱藏命令并控制活動(dòng)，使得加密流量為惡意軟件的傳輸和控制提供了可乘之機(jī)。作為勒索軟件攻破網(wǎng)絡(luò)抵御的重要入口，加密流量體量的大量增加，讓防護(hù)者很難識(shí)別、監(jiān)控出潛在的安全威脅。

　　鑒于惡意軟件將通信隱藏在加密網(wǎng)絡(luò)流量之內(nèi)，以及網(wǎng)絡(luò)內(nèi)部的惡意人員利用企業(yè)云系統(tǒng)發(fā)送敏感數(shù)據(jù)，安全團(tuán)隊(duì)需采用有效的工具來(lái)防止或檢測(cè)使用加密技術(shù)隱藏的惡意攻擊活動(dòng)。鑒于此，越來(lái)越多的企業(yè)探索使用機(jī)器學(xué)習(xí)和人工智能。這些高級(jí)功能可以學(xué)習(xí)在大量加密網(wǎng)絡(luò)流量中識(shí)別異常模式，并在需要時(shí)自動(dòng)提醒安全團(tuán)隊(duì)進(jìn)行深入調(diào)查。

　　首席信息安全官 （CISO）接受了思科2018安全能力基準(zhǔn)研究采訪(fǎng)，在報(bào)告中表示，他們迫切需要增加可使用人工智能和機(jī)器學(xué)習(xí)的工具，并認(rèn)為他們的安全基礎(chǔ)設(shè)施越來(lái)越復(fù)雜化和智能化。但此類(lèi)系統(tǒng)生成的大量誤報(bào)也讓他們感到沮喪，因?yàn)檎`報(bào)增加了安全團(tuán)隊(duì)的工作量。隨著機(jī)器學(xué)習(xí)和人工智能技術(shù)的成熟，并了解到他們所監(jiān)視的網(wǎng)絡(luò)環(huán)境中哪些是“正常”活動(dòng)，這些擔(dān)憂(yōu)逐漸減少。

　　面對(duì)日益升級(jí)的勒索軟件威脅，不斷增長(zhǎng)的加密流量規(guī)模，思科將機(jī)器學(xué)習(xí)、人工智能應(yīng)用到安全領(lǐng)域，打造深度學(xué)習(xí)感知、智能協(xié)作的創(chuàng)新安全架構(gòu)，最終為客戶(hù)提供有效的安全。

　　值得關(guān)注的是，思科Stealthwatch加密流量分析技術(shù)可以在無(wú)需對(duì)加密流量進(jìn)行解密的情況，運(yùn)用網(wǎng)絡(luò)感知分析方法，識(shí)別隱藏在加密流量中的惡意軟件。該系統(tǒng)針對(duì)加密流量?jī)?nèi)部的元數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)算法分析，準(zhǔn)確定位加密流量中的惡意模式，實(shí)現(xiàn)更快更精確的判斷，幫助企業(yè)快速確定可能受到感染的設(shè)備和用戶(hù)，最終提升企業(yè)面對(duì)安全事件時(shí)的響應(yīng)速度和水平，準(zhǔn)確率超過(guò)99.99%。憑借加密流量分析技術(shù)，思科已經(jīng)成功解決了安全行業(yè)所面臨的最艱巨的挑戰(zhàn)，使安全團(tuán)隊(duì)能夠兼顧安全與隱私，并且顯著降低成本。目前，Stealthwatch已經(jīng)在全球眾多客戶(hù)端實(shí)施，成功地幫助企業(yè)提升高級(jí)安全威脅檢測(cè)和調(diào)查能力，豐富安全合規(guī)檢查的技術(shù)手段，加強(qiáng)網(wǎng)絡(luò)和應(yīng)用的性能可視化分析監(jiān)控，全面提高可視化能力和事件響應(yīng)能力。

　　思科深知，只有將機(jī)器學(xué)習(xí)和人工智能應(yīng)用到安全防御之中，才能不僅通過(guò)已知的威脅來(lái)尋找同類(lèi)威脅，更能通過(guò)已知的威脅去發(fā)現(xiàn)未知的威脅，甚至通過(guò)分析未知的威脅數(shù)據(jù)來(lái)尋找未知的威脅。另一個(gè)值得分享的應(yīng)用是利用機(jī)器學(xué)習(xí)技術(shù)檢測(cè)可能存在的內(nèi)部威脅——思科威脅研究人員對(duì)于34個(gè)國(guó)家的15萬(wàn)用戶(hù)呈現(xiàn)的數(shù)據(jù)泄露趨勢(shì)進(jìn)行了研究，其所采用的算法不僅記錄了用戶(hù)下載文件的容量，也充分考慮了其他變量，如：下載的具體時(shí)間，IP地址，地點(diǎn)。在1.5個(gè)月中，這個(gè)由機(jī)器學(xué)習(xí)技術(shù)驅(qū)動(dòng)的算法對(duì)于每個(gè)用戶(hù)的異常行為進(jìn)行了研究，標(biāo)記的可疑下載用戶(hù)占0.5個(gè)百分點(diǎn)。這個(gè)數(shù)目雖然不大，但這些用戶(hù)在1個(gè)半月內(nèi)總共從企業(yè)云系統(tǒng)上下載超過(guò)390萬(wàn)份文檔，平均每位用戶(hù)下載5200份文檔。其中，62%的可疑下載發(fā)生在正常工作時(shí)間之外，40%發(fā)生在周末。機(jī)器學(xué)習(xí)算法有希望對(duì)云和用戶(hù)行為提供更高的可視性。如果防御者能夠在下載方面預(yù)測(cè)用戶(hù)行為，則可節(jié)省花在調(diào)查合法行為上的時(shí)間，還可以介入阻止?jié)撛诠�擊或發(fā)生數(shù)據(jù)泄露事件。

　　作為網(wǎng)絡(luò)和安全領(lǐng)域的行業(yè)領(lǐng)導(dǎo)者，思科擁有得天獨(dú)厚的優(yōu)勢(shì)，不斷為客戶(hù)推出更強(qiáng)大的端到端的可視性與安全性。

　　思科（NASDAQ：CSCO）是全球科技領(lǐng)導(dǎo)廠商，自1984年起就專(zhuān)注于成就互聯(lián)網(wǎng)。我們的人才、產(chǎn)品和合作伙伴都致力于幫助社會(huì)實(shí)現(xiàn)安全互聯(lián)，并且把握未來(lái)的數(shù)字化機(jī)遇。