據Gartner公司2018 年市場調查,近數年間各大企業IT預算,以電腦保安產品及服務領先,去年全球增長約12.4%,總額超過1,140億美元。對2019年的預測,亦會有8.7%的增長,總額將突破1,240億美元。
近年,企業對保安需求的急增,主要原因有三個因素;包括保安風險上升,業務上需求,及企業的數碼改革。
近數年,機器學習發展突飛猛進,有不少電腦保安的產品,都在積極宣傳保安程式當中,加入了機器學習的元素。例如偵測惡意軟件入侵,或發現網絡中的異常,為企業加多重保護。
不少企業購買防火牆或電腦上的終端產品(Endpoint Security),包括了防毒及VPN之餘,亦考慮加建「進階威脅防護」(Advanced Threat Protection,ATP)設備,以應付日益猖獗的惡意攻擊,加多一層防禦。
微軟的黑客攻防戰
資料顯示,每天全球的230國家,有近三百萬名電腦使用者,正面對惡意軟件威脅,當中近一百萬次皆為「零日攻擊」,市場上從未有任何防防毒產品,可以偵測及抵擋入侵,以ATP產品去掃描有問題檔案,尤其重要。
去年,各大保安會議當中,不少公司提出以機器學習的保安方案,均突破傳統網絡的保安思維,有不少的應用可讓IT人借鏡。
黑客研破解ATP
2018年的Black Hat大會,微軟發表了報告,原來除了保安研究員及工程師,黑客亦正積極研究,如何破解ATP設備的機器學習。如果上述產品,未能預計黑客的各種攻擊手段,即使最先進的ATP保護,最終亦能被擊破,等於形同虛設。
市場上ATP防禦產品,通常有兩種選擇;首先以雲端設施來掃描,一旦收到不名來歷的電郵附件,或者有人想下載檔案;例如WORD、DF文檔、甚至是圖片圖,都先送到雲端系統掃描檢查一次,以機器學習分類測試ATP,究竟有否內藏疑似惡意軟件。
部分ATP設備亦可離線(Offline)工作,不須連接任何網絡或雲端,此類較適合政府或金融機構,有效保密企業資料,檢查只在內部進行。
這類獨立運作ATP系統,就隨時有機會淪為黑客的測試設備。機器學習的設計,只依靠開發人員所選擇輸入資料特徵,再逐一作出分析。譬如10萬個惡意軟件,均包含某種獨特設計,機器學習便抽出上述特徵,作為辨別惡意軟件的因素。
對於黑客來說,編制不同惡意程式,也一樣也可測試ATP準確和誤差,再發現ATP系統選擇那些特徵,然後又避重就輕,編制新惡意軟件來避開。甚至以子之矛,攻子之盾,可以輸入大量錯誤資訊的惡意程式,影響機器學習,以扭曲ATP系統判斷的準確性。
根據微軟的報告,他們按照黑客攻防戰的思路,一再改良了Windows Defender內ATP 保護方式。除了利用了機器學習,又加入了合奏方案,選擇不同機器學習模式,堆疊一起運作,每種模式所使用特徵又不一樣,確保黑客即使輸入不良數據,亦不會太影響系統準確性。
全球各個ATP系統,微軟系統檢查次數多達20億,最後測試的成功率,亦高達95%,可見合併多種機器學習方式,確有助改善防禦。
所謂知己知彼,百戰百勝,要除了要有高科技幫助之外,更要明白黑客思維,才能有效保障資料。
作者:梁定康,網絡工程師,從事網絡設計及保安工作,現任職某大美國網絡廠商。