安全運(yùn)營中心(SOC)的分析人員擅長推理和決策，但很少有企業(yè)負(fù)擔(dān)的起24小時(shí)不休息的安全團(tuán)隊(duì)。即使可以，大量的網(wǎng)絡(luò)數(shù)據(jù)和告警也令安全人員疲憊不堪，無所適從。而且，在可見的未來，物聯(lián)網(wǎng)設(shè)備的爆炸性增長，會(huì)有更多的端點(diǎn)、流量、應(yīng)用……

傳統(tǒng)的安全自動(dòng)化

SOC通過嘗試用自動(dòng)化來應(yīng)對(duì)這一問題。如SOAR(安全編排自動(dòng)化和響應(yīng))，試圖通過自動(dòng)事件的響應(yīng)手冊(cè)(playbook)來協(xié)調(diào)安全設(shè)備之間的活動(dòng)，從而簡化分析師的工作。在某種程度上SOAR是有用的，但SOAR實(shí)際上是一個(gè)復(fù)雜的帶有觸發(fā)器流程圖，只能依據(jù)接收的信號(hào)，并根據(jù)所看到的情況做出有限的響應(yīng)。這些信號(hào)要求的數(shù)據(jù)非常嚴(yán)格，如基于IoC的簽名，以及處理特定類型惡意軟件的預(yù)定義規(guī)則。

這種基于經(jīng)驗(yàn)的工具，并不能讓傳統(tǒng)的安全自動(dòng)化系統(tǒng)適應(yīng)不斷變化的環(huán)境。如企業(yè)內(nèi)部自身基礎(chǔ)設(shè)施和業(yè)務(wù)行為的變化，以及外部攻擊者不斷發(fā)展的TTP(攻擊技術(shù)、工具和流程)。環(huán)境會(huì)根據(jù)各種因素發(fā)生變化，包括事件涉及的人員、設(shè)備、地點(diǎn)，甚至是一天當(dāng)中的不同時(shí)間。

從自動(dòng)化安全到自主響應(yīng)

英國網(wǎng)絡(luò)安全公司Darktrace，自2016年開始用一種不同的方法來改變這種狀況。它使用AI來做到自主響應(yīng)，而不是傳統(tǒng)的自動(dòng)化安全。兩者的區(qū)別是，前者無需遵循預(yù)先定義的一組步驟來處理已知條件。Antigena(Darktrace的自主響應(yīng)工具)基于的是原生AI，即與自動(dòng)化系統(tǒng)實(shí)施的方向相反，一開始沒有任何規(guī)則或簽名，一切都從“新”學(xué)起，來了解用戶機(jī)構(gòu)的運(yùn)轉(zhuǎn)模式。

Antigena通過觀察機(jī)構(gòu)的數(shù)字化活動(dòng)的各個(gè)方面來學(xué)習(xí)，在觀察過程中創(chuàng)建常規(guī)的統(tǒng)計(jì)模型。該模型必須包含各種活動(dòng)的集合，以適應(yīng)事件的上下文環(huán)境。例如，一名員工的正常行為對(duì)于另一名員工來說就可能是異常的。而每位員工都會(huì)在公司的基礎(chǔ)設(shè)施上留下數(shù)字足跡，Antigena利用這些足跡來建立對(duì)上下文環(huán)境的基線理解，采集的數(shù)據(jù)點(diǎn)可以是成千上萬個(gè)。

基礎(chǔ)設(shè)施的基線形成

通過追蹤各種數(shù)字活動(dòng)，甚至包括與Checkpoint、Cisco、Fortinet和Palo Alto等其他安全工具的結(jié)合，以觀察用戶自身網(wǎng)絡(luò)上發(fā)生的事情，全面了解正常的訪問行為。如觀察員工的電子郵件互動(dòng)，從郵件的內(nèi)容和相應(yīng)而創(chuàng)建的元數(shù)據(jù)中學(xué)習(xí)。AI在郵件安全中的應(yīng)用尤為普遍，因?yàn)殡娮余]件是網(wǎng)絡(luò)攻擊最為常見的路徑之一。

舉個(gè)典型例子，當(dāng)某企業(yè)的一名高管收到網(wǎng)絡(luò)釣魚電子郵件時(shí)，Antigena便會(huì)發(fā)現(xiàn)其中的異常之處，包括發(fā)送者和接受者的身份，郵件中隱藏的URL等，最終導(dǎo)致自主響應(yīng)系統(tǒng)的懷疑，防止進(jìn)一步對(duì)其他基礎(chǔ)設(shè)施的侵害。

除了電子郵件，Darktrace的自主人工智能還包括觀察客戶的云端行為，如監(jiān)視SaaS應(yīng)用程序中的活動(dòng)，以及混合基礎(chǔ)設(shè)施中發(fā)生的事情。在一個(gè)真實(shí)案例中，一名試圖報(bào)復(fù)公司的IT管理員從公司的SaaS帳戶下載了敏感文件，然后使用一個(gè)得到IT部門批準(zhǔn)的文件傳輸賬戶(VPN)，以逃避文件傳輸監(jiān)控把文件悄悄傳送到家里。然而，Antigena發(fā)現(xiàn)這個(gè)SaaS賬戶下載的文件過大，不僅阻止了文件上傳，還禁止了這名心懷不滿的員工使用VPN進(jìn)行的遠(yuǎn)程連接。

自主響應(yīng)的處理層級(jí)

不了解上下文的自動(dòng)化響應(yīng)工具，往往會(huì)導(dǎo)致業(yè)務(wù)停擺的風(fēng)險(xiǎn)。自動(dòng)主響應(yīng)工具能夠把可疑活動(dòng)置于上下文中，了解事件的細(xì)微差別，判斷哪些行為能夠在維持正常業(yè)務(wù)運(yùn)轉(zhuǎn)的同時(shí)控制風(fēng)險(xiǎn)。

最簡單的，在某些情況下，一起事件可能根本不需要自主響應(yīng)?；蛘呷斯ぶ悄芸赡苤皇峭ㄟ^將附件轉(zhuǎn)換為無害的文件類型，就可將攻擊消除。

還有一些情況，Antigena只需阻止一封本地化攻擊的電子郵件。例如在上面的那起“心懷不滿的員工”例子中，Darktrace的系統(tǒng)雙重鎖定了鏈接，避免任何人點(diǎn)擊它，并將電子郵件移動(dòng)到高管的垃圾郵件文件夾中。

最極端的處理，當(dāng)某個(gè)服務(wù)器正向向一個(gè)它以前從未聯(lián)系過的目的地發(fā)送信息，Antigena可能會(huì)隔離這臺(tái)服務(wù)器，阻塞其所有流量，以避免該服務(wù)器成為攻擊其他企業(yè)內(nèi)部資產(chǎn)的“橋頭堡”。

自主響應(yīng)之于攻擊鏈

任何人工智能的自主反應(yīng)都無法做到“開箱即用”，Antigena也不例外。它需要對(duì)用戶企業(yè)的運(yùn)轉(zhuǎn)流程有更多的了解之后，才能逐漸開始發(fā)現(xiàn)異常行為，并以所謂的人類確認(rèn)模式推薦緩解措施?？蛻糁挥性诔浞值男湃蜗到y(tǒng)后，才會(huì)開啟主動(dòng)模式，該模式提供完全無需人工干涉的自主響應(yīng)。

以下是自主響應(yīng)如何緩解典型的勒索軟件事件：

(1) 初始階段

在一次勒索軟件攻擊中，“零號(hào)患者”(即第一位受害者)從一臺(tái)服務(wù)器下載了一個(gè)可執(zhí)行文件，這臺(tái)服務(wù)器該企業(yè)網(wǎng)絡(luò)上所有的設(shè)備都從未有過聯(lián)系。這時(shí)自主響應(yīng)系統(tǒng)就會(huì)將其標(biāo)記并記錄，由于系統(tǒng)尚未開啟主動(dòng)模式，攻擊進(jìn)入下一階段。

(2) 聯(lián)系C2

勒索軟件感染的下一個(gè)階段通常是與C2服務(wù)器進(jìn)行通信，以獲取進(jìn)一步的指示。通常受感染的設(shè)備通過GET請(qǐng)求與C2服務(wù)器通信，并使用自簽名的SSL證書加密與其他計(jì)算機(jī)的通信。這時(shí)，為了保護(hù)企業(yè)網(wǎng)絡(luò)中的其他資產(chǎn)，Antigena此時(shí)介入并阻止來自該感染設(shè)備的所有流量。

(3) 橫向移動(dòng)

橫向移動(dòng)是指勒索軟件在企業(yè)網(wǎng)絡(luò)中試圖擴(kuò)展，以在其他設(shè)備上建立立足點(diǎn)，并找到目標(biāo)數(shù)據(jù)。在本案例中，受感染設(shè)備開始掃描其他內(nèi)部設(shè)備的RDP和SMB端口，如果找到漏洞，就會(huì)建立連接并繼續(xù)用惡意文件感染這些設(shè)備。如果Antigena開啟了主動(dòng)模式，它首先就會(huì)阻止攻擊者的SMB連接請(qǐng)求，如果發(fā)現(xiàn)不斷的連接嘗試，就會(huì)阻斷該設(shè)備的所有通信。

(4) 數(shù)據(jù)加密

加密用戶的數(shù)據(jù)是勒索軟件實(shí)施勒索前的主要目標(biāo)(有的攻擊者已經(jīng)開始以公開數(shù)據(jù)進(jìn)行勒索)。在一起基于零日漏洞的勒索軟件攻擊案例中，Antigena注意到網(wǎng)絡(luò)上的一臺(tái)機(jī)器正在訪問SMB上共享的數(shù)百個(gè)Dropbox文件，并實(shí)施加密。Antigena的權(quán)限能夠阻斷所有異常連接五分鐘，利用這幾分鐘的時(shí)間，再將被操控的設(shè)備與網(wǎng)絡(luò)隔離，留出充分的時(shí)間去調(diào)查取證。最終，這個(gè)利用零日漏洞的勒索軟件被AI切斷的時(shí)候，僅加密了四份文件。

結(jié)語

自主響應(yīng)是一種很有前途的技術(shù)，它利用機(jī)器的速度和規(guī)模來捕獲攻擊。由于未來可能的變化趨勢(shì)，它將得越來越重要。另一方面，安全專家也認(rèn)為，尖端復(fù)雜的攻擊也將變得越來越自動(dòng)化，甚至也是自主的。

Darktrace與麻省理工學(xué)院技術(shù)評(píng)論(MIT Technology Review)聯(lián)合開展了一項(xiàng)針對(duì)300多名C級(jí)高管的調(diào)查，超過三分之二的人表示，他們預(yù)計(jì)人工智能將成為仿冒和有針對(duì)性的網(wǎng)絡(luò)釣魚工具。超過一半的人擔(dān)心使用自主技術(shù)的更加高效的勒索軟件。也許，唯一的出路就是“用自主對(duì)抗自主”了。