在RSA大會來到第三天，F(xiàn)ortinet全球安全戰(zhàn)略官Derek Manky發(fā)表了主題為“Order vs Mad Science: Analyzing Black Hat Swarm Intelligence ”的精彩演講。

 

[[226731]]

 

如果說在去年人工智能(AI)還在安全領(lǐng)域還是一個(gè)炒作話題的話，今年必將看到大量人工智能在安全領(lǐng)域的落地實(shí)踐。從本次RSA大會的展區(qū)就能看出一二，雖然參展的幾十家廠商身處不同的安全細(xì)分市場，提供不同的安全產(chǎn)品，但是今年最共同的一點(diǎn)就是大家都在想與會觀眾訴說著自己的新產(chǎn)品，新技術(shù)是如何通過人工智能，機(jī)器學(xué)習(xí)來幫助最大程度上提升安全水平。

作為CTA(網(wǎng)絡(luò)威脅聯(lián)盟)的創(chuàng)始成員，全球威脅情報(bào)領(lǐng)域的實(shí)踐者與領(lǐng)軍者，F(xiàn)ortinet自然也將人工智能引入到了自己的產(chǎn)品技術(shù)組件中。本次Derek發(fā)表的演講中提出的Swarm Intelligence(群體智能)便是人工智能領(lǐng)域的概念之一。

Derek首先介紹了過去一年Fortinet發(fā)現(xiàn)的眾多0day，以及對多個(gè)僵尸網(wǎng)絡(luò)的深入研究成果，并用一系列快速的攻擊現(xiàn)場演示將聽眾帶入了一個(gè)“黑客”的世界。隨后介紹了僵尸網(wǎng)絡(luò)(Botnet)的傳統(tǒng)形態(tài)以及根據(jù)FortiGuard全球威脅研究與響應(yīng)實(shí)驗(yàn)室的深入研究總結(jié)出的下一代僵尸網(wǎng)絡(luò)的特點(diǎn)。

Derek認(rèn)為，下一代僵尸網(wǎng)絡(luò)最大的特點(diǎn)將是Swarm，即不再是依靠中心化的C2，而是實(shí)現(xiàn)去中心化的連接，基于一定的算法進(jìn)行自組織的一套點(diǎn)對點(diǎn)僵尸網(wǎng)絡(luò)，也就是通過群體智能來構(gòu)建一套健壯/穩(wěn)定的僵尸網(wǎng)絡(luò)，可以極大程度上擴(kuò)展攻擊鏈，加速攻擊速度，并且可以完全不需要人工介入。類似的情況在Hajime上已經(jīng)發(fā)生，這是一個(gè)智能的IoT僵尸網(wǎng)絡(luò)，跨近10種平臺，在2016年10月25日第一次被檢測到，F(xiàn)ortiGuard現(xiàn)在每天還可以檢測出3萬次Hajime的通信活動。

 

 

在不斷進(jìn)化的攻擊面前，防御一方也應(yīng)該進(jìn)行相應(yīng)的進(jìn)化，并且從Black Hat采用的思路中進(jìn)行借鑒來進(jìn)行更好的防御，而核心正是圍繞著群體智能這一概念，這也是本次Derek演講議題的來源，維護(hù)秩序的白帽與“瘋狂科學(xué)家”黑帽在群體智能這個(gè)領(lǐng)域展開對抗。

弱者在自然界生存的不二法則就是要團(tuán)結(jié)一致，成群活動，比如蜜蜂，螞蟻等動物都是這樣。在如今的安全重災(zāi)區(qū)“IoT”領(lǐng)域，雖然每一個(gè)IoT設(shè)備的處理能力都十分有限，但是他們的最大特點(diǎn)就是互相連接，且數(shù)量巨大，從而形成群體效應(yīng)。過去一兩年爆發(fā)的基于IoT的攻擊，不論是Miria還是Hajime都是這樣。

面對成群結(jié)隊(duì)的攻擊，如果防御方不能將自己的網(wǎng)絡(luò)、設(shè)備“團(tuán)結(jié)”起來，就注定輸在起跑線上了。因此Fortinet始終倡導(dǎo)整合，協(xié)同，聯(lián)動，甚至生態(tài)，希望能夠幫助用戶構(gòu)建一套足以和敵方抗衡的Fabric網(wǎng)絡(luò)，這也是Fortinet Security Fabric安全框架的來源，在Security Fabric內(nèi)部，彼此連接，情報(bào)共享，形成群體智能。

 

 

被AI賦能的惡意軟件和僵尸網(wǎng)絡(luò)檢測是FortiGuard的核心能力，也正是基于AI的能力，F(xiàn)ortinet才能持續(xù)快速，及時(shí)地輸出大量威脅情報(bào)，并和Security Fabric生態(tài)內(nèi)的安全產(chǎn)品形成協(xié)同聯(lián)動。生態(tài)內(nèi)大量的安全產(chǎn)品能夠形成協(xié)同，使得網(wǎng)絡(luò)內(nèi)的微隔離成為可能，將攻擊對手限制在一個(gè)個(gè)微小的隔離區(qū)域內(nèi)，使其無法橫向傳播與擴(kuò)散，將一條完整的攻擊殺傷鏈切斷?；谡麄€(gè)生態(tài)的協(xié)同聯(lián)動，足以讓用戶應(yīng)對不同攻擊面的威脅，不論是IoT，網(wǎng)絡(luò)，Web，還是Email等等，并且彼此間能夠進(jìn)行自組織和自動化調(diào)整，提升安全響應(yīng)速度，做到及時(shí)發(fā)現(xiàn)及時(shí)解決，讓對手寸步難行。