前Niara共同創辦人,也是現任Aruba安全產品副總裁暨總經理Prasad Palkar表示,未來Aruba安全產品策略,也要結合深度學習,來解決傳統機器學習難以解決的安全問題,甚至是更複雜新型態網路攻擊威脅。

來越多資安廠商或網路設備商開始用機器學習(Machine Learning,ML)來優化網路安全產品,像是網路廠商Aruba早在去年2月透過併購UEBA廠商Niara引進機器學習技術,來強化自家安全產品。前Niara共同創辦人,也是現任HPE Aruba安全產品副總裁暨總經理Prasad Palkar更表示,未來Aruba安全產品策略,更要開始結合深度學習,來解決傳統機器學習難以解決的安全問題,甚至是更複雜新型態網路攻擊威脅。

隨著駭客攻擊手法日新月異,加上AI與機器學習技術發展成熟,逐漸成為駭客用來發展規避網路安全偵察的新手段,也增加企業資安防護的難度。Prasad Palkar就表示,面對層出不窮資安威脅,企業更得開始結合機器學習強化網路安全防護,甚至他說:「 未來誰的AI演算法技高一籌,將是決定網路安全勝負的關鍵。」

企業開始從內部使用者行為偵測下手,找出潛在網路安全威脅

有別於傳統資安防護重在防止駭客入侵,一旦防線遭突破之後,企業往往難以察覺,也不知該從何防堵,而以強調使用者行為與裝置分析(User and Entity Behavior Analytics,UEBA)的網路安全威脅偵測手法,在近兩年開始竄起,它利用機器學習技術,從內部來偵測網路使用異常行為,藉此來辨識可疑網路活動,甚至利用它來協助企業提早預測潛在惡意攻擊,早一步防堵。

Prasad Palkar表示,UEBA是一個機器學習偵測為主的網路使用行為分析,不只用於偵測內部使用者行為異常事件,也能用在網路攻擊威脅偵測,藉由分析使用者裝置經由網路發送的資料封包、資料流、Log等數據分析,從看似正常的網路行為事件中,如系統登入、檔案上傳、資料下載等活動,來找出可疑網路活動,進而將企業資產損害降到最低,甚至在攻擊還沒發生前就提前防範。

但是,如何從許多看似正常網路使用流量數據中,來找出可疑有異常行為?舉例來說,當駭客暗中入侵某家企業員工筆電並植入惡意軟體,取得存取控制權限,用來竊取企業內部重要資料,在這類情況下,Prasad Palkar表示,企業通常很難透過傳統基於規則的安全偵測方式,來發現可疑活動,而必須仰賴大量使用行為數據分析中,才能找出有無可疑的網路存取行為正在發生中,例如下載沒有存取權限的公司機密檔案等。他說:「這得要靠機器學習才有辦法做到。」

同時採監督與非監督ML模型,來偵測不同類型網路安全事件

以IntroSpect產品為例,他表示,因為是採用機器學習,因此訓練過程,也分成監督式(Supervised Learning),及非監督式機器學習(Unsupervised Learning)兩種,來做為各種網路安全事件的偵測之用。

至於哪些安全事件需要採用監督式或非監督式學習?他也舉例,像是惡意網域偵測就適合採用監督式機器學習建立偵測模型,事先讓ML學習正常和惡意域名資料集,建立一套惡意網域預測模型,用來分辨出哪些是好或不好的域名。他表示,以往駭客常利用Domain Generation Algorithm (DGA)產生的惡意網域來建立疆屍網路,並不時變動網域名稱以規避如防火牆等的偵查,但是透過結合ML模型偵測,就能強化這方面的安全偵測能力。

另外,在使用者存取行為分析時,Aruba也採用非監督式機器學習來強化這方面的偵測能力,不像監督式學習,需要經過人工事先選取特徵和資料標記,Prasad Palkar表示,在進行非監督機器學習訓練時,僅需訂出一個機器對照學習基準線(Baseline),並讓機器自動從大量使用者行為範本中,自行找出使用者特徵和存取行為之間關聯性,得出不同使用者在網路行為的差異,藉此辨識哪些存取行為是正常或不正常。

企業面對攻擊威脅不能停下腳步,須持續不斷發展新的對抗方式

然而,現在不只是企業資安防護開始借重AI與機器學習,就連駭客也開始運用這些新技術來訓練自己的攻擊工具,讓它可以規避資安設備偵察。對此,Prasad Palkar坦言:「這也是為何我們不能停下腳步而必須持續不斷發展新的對抗方式,才能比駭客更快一步找到安全問題加以解決。」

Prasad Palkar並表示,目前Aruba安全產品團隊成員,許多都是資料科學專家和資安領域專家組成,只要一有新攻擊手法出現,這些人就會一起合作,透過結合如主成分分析(Principal Component Analysis)等不同機器學習演算法,並搭配各種數據分析工具,來建立不同安全偵測功能的ML模型,以應對各種網路安全威脅。他指出,目前在IntroSpect產品上已建立至少超過100個機器學習預測分析模型,可以用於各種網路安全事件的偵測使用。

他也看好機器學習技術在企業行動網路安全發展,未來可以用來解決更多網路問題,特別是在提高網路使用體驗、安全洞見分析,以及網路使用行為偵測上,將有它更大發揮的空間,甚至為了因應未來更複雜新型態網路攻擊威脅,他更透露未來也將採用深度學習(Deep Learning)技術,來加強企業無線、有線網路安全防護。

他解釋,與傳統機器學習不同,深度學習是利用更大量資料訓練,來建立更多層類神經網路模型(DNN),以解決更複雜網路安全問題,甚至是,這些還未曾發現過的未知的未知(Unknown unknown)風險。

Prasad Palkar也指出,目前該團隊已試用如循環神經網路(Recurrent Neural Network,RNN),及長短期記憶 (Long Short-Term Memory, LSTM)的神經網路結構,以建立異常網路行為偵測的深度學習模型,用來預測使用者網路行為的好壞,甚至可依據不同安全威脅程度提供風險評分,讓企業能及早防範,降低安全風險。

不只是對抗新型態網路攻擊威脅,Prasad Palkar指出,透過深度學習也能用來改善現有ML模型推論效果。他解釋,即便是已經訓練完成的ML模型,推論信心水準已達到80%,但是只要不是百分之百,都還是有產生誤判的風險,而透過採用如LSTM等深度學習偵測技術,只要能提供足夠大量的資料持續訓練學習,就能夠逐步提高預測準確度,也能用來改善現有ML算法的學習表現。

不過,他坦言,目前最大的挑戰,是要取得大量可供深度學習訓練的資料,他說,這些訓練用數據,皆來自企業用戶用於部署網路設備產生的資料,並非屬於涉及隱私安全的數據,然而,若是想要提高學習成效,就需要更多不同類型取樣資料,包括釣魚郵件、可疑C&C DNS、用戶不正常存取、檔案上傳等數據,來做學習訓練才行。

 


Advertisement

更多 iThome相關內容