趨勢科技全球研發部資深副總周存貹

「未來的AI技術,就像是一個Excel表格功能,可以節省許多整理表格的力氣與時間。」趨勢科技全球研發部資深副總周存貹近日參加臺灣資安大會時表示,對於資安公司來說,AI也像是一種製作資安表格的工具,可以幫助許多資安公司加強資安產品的防護。周存貹認為,資安整合AI能力,已成為必然的發展趨勢,因此,真正的關鍵在於,如何運用AI來解決現有資安產品面臨的難題。

因為AI技術最近幾年的大躍進,也帶來資安防護技術的演進,開始有越來越多的資安公司,將AI能力融入自家資安防護產品之中,試圖解決一些傳統資安產品面臨的問題,例如病毒碼更新管理難題、無法偵測未知病毒,以及容易出現誤判的情況等。趨勢科技也是其中一家。

周存貹表示,目前該公司與資安及營運相關的AI專案多達50個。以資安為例,至今,趨勢已實際將AI技術應用在電子郵件詐騙阻擋、垃圾郵件阻擋以及惡意巨集偵測等方面。以目前常見的變臉詐騙(BEC)來說,他們利用500多封電子郵件的書信內容當作訓練樣本,讓AI學習公司主管的書寫風格,以判斷信件內容是否為詐騙,一旦發現內容與本人的書寫風格不符,就會發送警告,提醒收/寄件者注意。經過一段時間訓練後,發現辨識成果高於預期,如今趨勢也把這項技術運用在自家資安產品中。另外,在阻擋釣魚郵件上,趨勢也同樣利用AI在圖像辨識方面的優異能力,來教導它學習判別釣魚網站,使用至今也獲得不錯的辨識成效。

不只有資安產品會用到AI,趨勢也利用AI輔助沙箱偵測內含巨集惡意程式的PDF文件檔案,來降低資安維運成本。過去趨勢是利用沙箱模擬分析技術(sandbox)來進行偵測,將所有信件附加的PDF檔案放進沙箱環境做檢測,以確保用戶電腦安全。但是,以前光是每天要處理的郵件多達上百萬到千萬封,用在處理全部PDF檔案,事前可能需要準備數十萬臺沙盒才夠用,不僅耗費許多運算成本,甚至每次執行至少需要3到5秒的等待時間,要過濾完所有PDF檔相當費時。

後來,趨勢決定改用AI來替他們解決這個營運難題。他們利用將近1年蒐集來的數十萬個PDF檔案當作訓練資料,來建立ML模型,用來判別PDF檔案的好壞,僅針對AI沒辦法分辨的問題檔案,再丟進沙箱內進一步檢測。經過半年併行測試後,也幫助他們大幅降低了沙箱的使用數量,而且同樣能發揮到相同防護的效果。

不過,周存貹坦言,AI在提高病毒偵測率、降低誤判率,以及減少更新病毒碼的頻率方面,雖然能發揮到不錯的效果,但是純用AI來防毒,現階段還是存在一定程度風險。首先,AI技術的先天特性,目前還難以解釋病毒偵測成功或失敗與否的原因,所以當AI發生誤判或抓不到病毒時,不容易找到真正的原因,並且也很難立即反應,得要重新餵資料訓練模型,這段時間,等於是讓企業重要系統成為駭客的囊中物;再者,對已知病毒的偵測率,AI反而不如傳統資安產品。最後,不是只有資安公司會想到用AI,駭客攻擊也開始用AI來反制,例如利用對抗式攻擊(Adversarial Attacks)技術,誘騙AI產生錯誤的判斷,藉此規避AI資安產品的偵測。

周存貹建議,企業在選用資安產品時,AI固然是一項重要的參考指標,但是更重要的是,這個資安產品是不是有做到多層的保護,也就是在伺服器、端點、閘道器或防火牆,加入多種不同的資安保護,以及這個資安產品是不是搭配多樣的技術,如AI判別、行為分析偵測等,從各個資安層面對企業提供全面的保護;再者,也要將單一資安產品的整合能力納入考量,可整合其他資安產品,彼此協同合作。這些都具備了,才是完整的資安解決方案。

以趨勢的X-GEN防護產品為例。他表示,當有一個惡意檔案進到企業,除了會先經過幾道安全機制過濾,包括Web Reputation、Application Control與Census Check等,之後還會搭配兩種ML引擎做為另外兩道進階的資安防線,一個是Pre-execution ML,先針對還沒執行前的檔案做ML推論,以判別是否屬於惡意檔案,另一個則是Runtime ML,可在檔案或程式執行過程中,用於偵測或捕捉惡意病毒,並將其擋下。如此一來,才能達到多層次、多產品、多功能的保護。


Advertisement

更多 iThome相關內容