預(yù)見性安全“又快又好”

郭濤

我們已經(jīng)習(xí)慣了“互聯(lián)網(wǎng)+”“云計(jì)算+”這樣的說法，如今看來，AI的落地和普及也離不開“AI+”。筆者的理解，“AI+”在這里應(yīng)至少包含兩層意思：第一，AI技術(shù)的開發(fā)與應(yīng)用一定要與具體的應(yīng)用場景相結(jié)合，這樣才能做到有的放矢，這里“+”具體是指“+應(yīng)用”；第二，AI技術(shù)本身也在不斷演進(jìn)之中，創(chuàng)新的思路和技術(shù)使AI本身變得更加強(qiáng)大，也能更好地服務(wù)客戶和市場，“+”在這里是指AI自身的精進(jìn)和提升。

如今，AI在許多行業(yè)，比如金融、醫(yī)療、汽車等有了很多創(chuàng)新的應(yīng)用，同時AI又在智能客服、自動運(yùn)維、金融風(fēng)險分析等具體的應(yīng)用場景中大顯身手，這些都是最典型的“AI+”的例子。在安全領(lǐng)域，“AI+”的趨勢也越來越明顯。

網(wǎng)絡(luò)和端點(diǎn)安全廠商Sophos就推出了最新的Intercept X安全解決方案，以先進(jìn)的深度學(xué)習(xí)技術(shù)提供預(yù)測性防護(hù)功能。這是“AI+安全”的又一個例證。Sophos中國區(qū)總經(jīng)理鐘明輝介紹說，最新版本的Intercept X下一代端點(diǎn)保護(hù)方案結(jié)合了新的主動黑客攻擊緩減、先進(jìn)的應(yīng)用程序鎖定，以及增強(qiáng)型勒索軟件防護(hù)等功能，實(shí)現(xiàn)了前所未有的檢測和預(yù)防能力。AI并不是萬能的，但是在數(shù)據(jù)安全領(lǐng)域，它在對未知安全威脅的探知和防御方面確有獨(dú)到之處，效果也是顯而易見的。

預(yù)見性安全完美演繹“AI+安全”

伴隨著AI的出現(xiàn)和應(yīng)用，在很多細(xì)分領(lǐng)域誕生了大量新的概念，比如應(yīng)用感知的存儲、自動駕駛的網(wǎng)絡(luò)等。現(xiàn)在隨著Intercept X的推出，Sophos提出了“預(yù)見性安全”這個新概念。

所謂預(yù)見性，是指通過事實(shí)或經(jīng)驗(yàn)進(jìn)行推論，或者通過精確的計(jì)算、豐富的知識進(jìn)行預(yù)測。預(yù)見性安全包含三重意思：第一，它借助AI技術(shù)實(shí)現(xiàn)了更好的安全保護(hù)；第二，它具有更好的性能；第三，它具有更高的精確度。又快又好，這大概就是預(yù)見性安全所努力追求的境界。就像武林高手通常擁有一兩項(xiàng)絕技一樣，AI對于安全來說就是一項(xiàng)具有絕對“殺傷力”的新技能。

無論是云計(jì)算，還是物聯(lián)網(wǎng)，安全問題都是首先要解決的問題，不然一切新技術(shù)的應(yīng)用都將是空談。隨著網(wǎng)絡(luò)的無限擴(kuò)展，隨時隨地訪問需求的出現(xiàn)，安全問題也變得無處不在。安全保護(hù)并不是保護(hù)某一個點(diǎn)的安全，而是全面的無死角的防護(hù)。安全是一個復(fù)雜的系統(tǒng)，它既要保留那些基本的保護(hù)功能，比如文件掃描、程序掃描、內(nèi)存掃描等，又要根據(jù)技術(shù)和安全形勢的變化，更好地規(guī)避那些新的安全風(fēng)險和威脅，比如勒索軟件、偽裝、零日攻擊等。對于從事安全防護(hù)工作的人來說，預(yù)測和防御未知的威脅是最棘手的事，因?yàn)槊鎸ξ粗銜械綗o從下手。在這種情況下，AI的出現(xiàn)給我們提供了一個有效的工具或者說手段，讓我們可以通過對以往的數(shù)據(jù)、事件或者經(jīng)驗(yàn)的總結(jié)和分析預(yù)知安全風(fēng)險，從而提前做好萬全準(zhǔn)備。

在安全領(lǐng)域，機(jī)器學(xué)習(xí)技術(shù)的應(yīng)用并不是什么新鮮事。用于訓(xùn)練中的樣本和屬性越多，預(yù)測的結(jié)果就越準(zhǔn)確。但不幸的是，傳統(tǒng)的機(jī)器學(xué)習(xí)在這兩方面都有局限性，無法高效實(shí)施。鐘明輝舉例說，基于機(jī)器學(xué)習(xí)技術(shù)，傳統(tǒng)的決策樹方式，雖然容易實(shí)現(xiàn)，但是準(zhǔn)確性相對較差；隨機(jī)森林（Random Forest）雖然可以提升準(zhǔn)確性，但是性能不高。在這里我們又不得不重申，又快又好才是安全的王道。

Sophos Intercept X采用了深度學(xué)習(xí)技術(shù)，實(shí)現(xiàn)了更高的檢測率和更低的誤報率。深度學(xué)習(xí)是機(jī)器學(xué)習(xí)的最新進(jìn)展，它提供了一個龐大的可擴(kuò)展檢測模型，能夠?qū)W習(xí)所有觀察到的威脅形式。與傳統(tǒng)的機(jī)器學(xué)習(xí)相比，深度學(xué)習(xí)憑借其處理數(shù)以億計(jì)樣本的能力，以更快的速度、更少的誤報率做出更準(zhǔn)確的預(yù)測。Sophos Intercept X之所以能夠略勝一籌，主要是因?yàn)樗捎玫纳疃葘W(xué)習(xí)神經(jīng)網(wǎng)絡(luò)讓系統(tǒng)可以通過經(jīng)驗(yàn)進(jìn)行學(xué)習(xí)，每一個相互連接的神經(jīng)層都可以識別更多復(fù)雜的特性，從而在觀察到的行為和惡意軟件之間建立關(guān)聯(lián)。這些關(guān)聯(lián)性分析提高了對現(xiàn)有的和零日惡意軟件檢測的精確性，從而降低了誤報率。

企業(yè)戰(zhàn)略集團(tuán)（ESG）高級認(rèn)證分析師Tony Palmer解釋說：“傳統(tǒng)的機(jī)器學(xué)習(xí)模型依賴于專家威脅分析師來選擇用于訓(xùn)練模型的屬性，因而增加了主觀的人為因素。隨著添加的數(shù)據(jù)越來越多，模型也變得越來越復(fù)雜，成了繁瑣而緩慢的模型。這些模型的誤報率也很高，管理員不得不親自確定哪些是惡意軟件，哪些才是合法軟件，從而降低了IT的工作效率?！盓SG實(shí)驗(yàn)室的分析表明，Sophos Intercept X采用的神經(jīng)網(wǎng)絡(luò)模型很容易擴(kuò)展，并且它得到的數(shù)據(jù)越多，模型就會變得越智能。這樣就可以主動進(jìn)行檢測，而且不會影響管理或者系統(tǒng)的性能，做到了又快又好。

鐘明輝特別提到，傳統(tǒng)的安全產(chǎn)品都需要一個簽名庫，將收集到的信息與這個簽名庫進(jìn)行比對，才能判別哪些是惡意軟件，哪些是安全合法的訪問。簽名庫本身會占據(jù)一定空間，在邊緣計(jì)算、物聯(lián)網(wǎng)越來越盛行的今天，這種基于簽名庫的安全產(chǎn)品不太可能用于各種小型的物聯(lián)網(wǎng)終端設(shè)備之上，那么對這些終端的安全保護(hù)也就無從談起了。另外，基于簽名庫進(jìn)行比對總要耗費(fèi)一定時間，它會影響整個系統(tǒng)的性能。而以Sophos Intercept X為代表的預(yù)見性安全產(chǎn)品，完全拋棄了簽名庫，不僅以上基于簽名庫方式的安全產(chǎn)品的弊端一掃而光，而且產(chǎn)品本身變得更加輕量化和高效，應(yīng)用的場景也得到了極大擴(kuò)展。

上述分析說明了，為什么融合了AI技術(shù)的下一代安全解決方案可以解決傳統(tǒng)安全不能解決的問題。“AI+安全”確實(shí)可以讓安全防御變得又快又好。

Sophos向前邁出了一大步

鐘明輝表示，預(yù)見性安全是IT安全的未來。將深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)引入業(yè)界領(lǐng)先的漏洞利用和勒索軟件保護(hù)產(chǎn)品Intercept X，是Sophos向前邁出的一大步。對未知攻擊進(jìn)行主動防御，而不是等待攻擊的到來，這將改變每一家企業(yè)保護(hù)其用戶和資產(chǎn)的IT運(yùn)營方式。

其實(shí)Intercept X于2016年9月便首次推出，已經(jīng)在全球數(shù)以萬計(jì)的企業(yè)中被采用。最新版本的Intercept X讓預(yù)見性安全這一概念切切實(shí)實(shí)落地。筆者理解，Intercept X中的這個“X”代表了無限的可能性和嘗試的精神，它是推動產(chǎn)品自身不斷變革和演進(jìn)的基礎(chǔ)。

預(yù)見性安全有哪些典型的應(yīng)用場景呢？最新版本的Sophos Intercept X包括防勒索軟件和漏洞利用攻擊防護(hù)，以及主動黑客攻擊緩減等創(chuàng)新技術(shù)，例如憑證盜竊保護(hù)功能。隨著反惡意軟件的進(jìn)步，攻擊逐漸集中于盜竊憑證，目的是以合法用戶身份在系統(tǒng)和網(wǎng)絡(luò)中行動，而Intercept X可檢測并預(yù)防此類事件發(fā)生。通過基于云的管理平臺Sophos Central進(jìn)行部署，Intercept X能夠與任何廠商現(xiàn)有的端點(diǎn)安全軟件一同安裝，并即刻增加端點(diǎn)保護(hù)。當(dāng)與Sophos XG防火墻一起使用時，Intercept X引入的同步安全功能，可以進(jìn)一步增強(qiáng)保護(hù)能力。

對于Intercept X最新版本的推出，Sophos的合作伙伴有這樣的評價：“Intercept X能夠與任何廠商的端點(diǎn)保護(hù)方案一起安裝使用，意味著我們可以立即幫助那些有需求的用戶解決其安全問題。Intercept X簡單高效，有利于我們成為客戶信賴的合作伙伴。引入深度學(xué)習(xí)和其他增強(qiáng)功能也表明，Sophos正在引領(lǐng)安全市場的發(fā)展?！?/p>

Intercept X能夠引領(lǐng)預(yù)見性安全這一新的趨勢，與Sophos深厚的技術(shù)積淀密不可分。Intercept X的持續(xù)演進(jìn)就是Sophos擁有30年經(jīng)驗(yàn)的SophosLabs網(wǎng)絡(luò)威脅研究所的功勞。目前，Sophos在全球擁有1億用戶，其產(chǎn)品的續(xù)訂率超過90%。Sophos不僅是Gartner網(wǎng)絡(luò)與端點(diǎn)安全領(lǐng)域魔力第四象限的?？?，而且在領(lǐng)導(dǎo)者象限的位置非?？壳扒曳€(wěn)固。

酒香也怕巷子深，奉行“渠道第一”策略的Sophos從現(xiàn)在開始將加大市場宣傳力度。Sophos要在預(yù)見性安全方面樹立自己的權(quán)威地位。