資安營運主管倚賴並投資自動化、機器學習與人工智慧以抵禦威脅

作者 | 發布日期 2018 年 03 月 05 日 10:00 | 分類 市場動態 , 網路 , 資訊安全 line share follow us in feedly line share
資安營運主管倚賴並投資自動化、機器學習與人工智慧以抵禦威脅


惡意軟體日益複雜,有駭客開始利用雲端服務進行攻擊,並藉由加密規避偵測,用其為隱藏指揮與控制活動(command-and-control)的工具。第十一年度《思科 2018 年度網路安全報告》(Cisco 2018 Annual Cybersecurity Report,ACR)指出,為了減少惡意人士的操作時間,資安專業人員將會逐步採用並增加投資於利用AI與機器學習的工具。

儘管加密旨在增強安全性,但加密網路流量(包含合法和惡意)的增加(截至 2017 年 10 月為 50%),為試圖辨識並監控潛在威脅的防禦者帶來更多挑戰。思科威脅研究人員檢測惡意軟體樣本後,發現在12個月內加密網路通訊增加了 3 倍以上。

應用機器學習有助於增強網路安全防禦能力,並且隨著時間「學習」如何自動偵測在加密網路流量、雲端及物聯網環境下的異常模式。在《思科 2018 年度安全能力基準研究》報告中受訪的 3,600 名資安專業人員中有部分表示,他們非常依賴並期待增加諸如機器學習和人工智慧等工具,但由於系統產生的誤判數量太多而受挫。雖然目前仍處於初期階段,但一段時間後,機器學習和人工智慧技術將會日益成熟,從而學習到所監測的網路環境中哪些乃屬於正常」活動。

思科全球資深副總裁暨資訊安全長 John N. Stewart 表示:「2017 年惡意軟體的發展顯示我們的敵人也在持續學習。我們現在必須提高標準,無論是自上而下的領導力、業務導向、技術投資以及實踐有效的安全性,以減少風險。」

《思科2018年度網路安全報告》其他重點

  • 網路攻擊的財務成本不再是抽象數字

根據研究的受訪者表示,超過半數的網路攻擊導致逾 50 萬美元的財務損失,損失包括但不限於營收、客戶、機會以及現金支出成本。

  • 供應鏈攻擊日益快速且複雜

這些攻擊可能會大規模影響到電腦,並可能持續數月甚至數年。防禦者必須要意識到使用對資安不負擔保的企業組織所釋出的軟、硬體可能帶來的潛在資安威脅。

      • 2017年兩起類似的網路攻擊,Nyetya 與 Ccleaner,就是透過攻擊令人信賴的軟體感染用戶。
      • 防禦者應審查資安技術的第三方功效測試,協助降低供應鏈攻擊的風險。
  • 網路安全愈趨複雜,資料外洩規模日益擴大

防禦者正採用來自各個供應商的複雜產品組合,防止資料外洩。資料外洩的複雜和成長對組織防禦攻擊的能力產生了不少後續影響,如增加損失風險。

      • 2017 年,25% 的資安專業人才表示他們使用 11 至 20 家供應商的產品,相較於 2016 年則為 18%。
      • 資安專業人才表示,32% 的資料外洩影響了其半數以上的系統,而 2016 年則為 15%。
  • 資安專業人才發現行為分析工具的價值,因其得以定位網路惡意人士

92% 的資安專業人才表示行為分析工具奏效,三分之二的醫療保健部門,其次是金融服務部門,皆認為行為分析極為適合辨識惡意人士。

  • 雲端服務的使用漸增;攻擊者利用缺乏進階安全性的優勢

在今年的研究中,27% 的資安專業人才表示他們正在使用外部私有雲,相較於 2016 年則為 20%。57% 的受訪者表示,在雲端託管網路是因為資料安全性更佳;48% 是因為可擴充性;46% 是因為使用簡便。

雖然雲端提供了更好的資料安全性,攻擊者卻也正在利用資安團隊難以防禦不斷演進和擴展的雲端環境這項事實。結合最佳實務、機器學習等進階安全技術,以及雲端資安平台等第一線防禦工具,有助於保護這樣的環境

  • 惡意軟體數量的趨勢影響防禦者的偵測時間(Time to detection,TTD)

2016 年 11 月至 2017 年 10 月間的思科偵測時間中位數約為 4.6 小時,遠低於 2015 年 11 月所報告的 39 小時,以及《思科 2017 年度網路安全報告》中,2015 年 11 月至 2016 年 10 月間的 14 小時。

運用雲端資安技術一直是協助思科推動並保持偵測時間中位數在低點的關鍵,加快偵測時間有助於防禦者更迅速地解決資料外洩

給予防禦者的其他建議:

  • 確認他們遵守企業對應用程式、系統和設備修補設定的策略和實務。
  • 取得即時、準確的威脅情報數據和流程,以便數據納入安全監控。
  • 執行更深入、更進階的分析。
  • 經常備份資料,並測試復原程序和關鍵流程,尤其現今網路勒索軟體蠕蟲(network-based Ransomware Worm)與破壞性網路武器(destructive cyber-weapons)變化十分快速。
  • 針對微型服務、雲端服務和應用程式管理系統進行安全掃描

(首圖來源:pixabay