運用AI監控企業網路中惡意行為,關閉資安防戶空窗期

By 2021-11-19電子報專刊

作者光盾資訊 葉怡芬 

綜觀近來駭客攻擊手法早已捨棄過去亂槍打鳥式的攻擊手法而是會針對目標環境中各種應用主機漏洞設計相對應的惡意軟體以便能夠在無形之中竊取商業機密或客戶資。 

傳統的惡意程式偵測工具早已無法偵測進階的惡意攻擊行為許多資安廠商紛紛推出端點 偵測工具(EDR)企圖找出躲藏於企業內部網路中的惡意程式。但受限於技術上的限制即使已建置了EDR能夠帶來的偵測效果亦有限企業只能被動地防守等待惡意程式入侵環境並啟動後才能針對系統異常行為偵測進而增加發現入侵行為之機率。 

所有資訊系統的運作皆依賴網路封包傳輸,駭客攻擊也不例外,因此許多網路道端的資安偵測解決方案便是以此為著眼點為企業的資安的第一道關卡。過去因為技術上的限制,無法單就封包內容分析出惡意行為,甚至是零時差攻擊,但若企業有能力監控網路流量中的異常封包,就像街頭上遍布的攝影機一樣,可以一反過去被動的偵測轉為主動防禦,將所有網路流量中的惡意攻擊封包事先偵測,且輕易觀測入侵攻擊的完整攻擊標的及手法。 

所有資訊系統的運作皆依賴網路封包傳輸,駭客攻擊也不例外,因此許多網路道端的資安偵測解決方案便是以此為著眼點為企業的資安的第一道關卡。過去因為技術上的限制,無法單就封包內容分析出惡意行為,甚至是零時差攻擊,但若企業有能力監控網路流量中的異常封包,就像街頭上遍布的攝影機一樣,可以一反過去被動的偵測轉為主動防禦,將所有網路流量中的惡意攻擊封包事先偵測,且輕易觀測入侵攻擊的完整攻擊標的及手法。 

精誠軟體代理 CloudCofferMatrixShield採用進階人工智慧針對所有網路封包進行縝密分析和辨識能有效地偵測及阻擋各式新型威脅雲端防護平台能夠在第一時間杜絕各種新型態的惡意攻擊達到保護企業網路的安全。過去零時差攻擊的偵測均依賴人工識攻擊發生後產生異常行為才得以發現,CloudCoffer以人工智慧技術建構的MatrixShield防護平台則能夠在不需要資安專業人員的介入下即可自動告警惡意程式的入侵AI運算核心在不需更新的狀況下可成功偵測尚未有任何公開資訊的零時差漏洞攻擊。 

舉例來說,CloudCoffer於2021.7.16即發現了駭客嘗試在客戶的系統中植入變種的挖礦惡意程式相關程式經驗證並無防毒軟體可以偵測到,下為相關惡意腳本的片段: 

不只如此,CloudCoffer發現多項零時差漏洞攻擊,均在正式的CVE發布之前數月即偵測到攻擊並告警客戶,包含微軟、Linux相關系統、各式應用程式的漏洞,客戶因此可立即有能力阻擋零時差攻擊並預先應對可能產生的風險,將資安防禦空窗期最小化。最近一次偵測到的是Jolokia(Java系統常用來溝通HTTP、JSON的套件)的零時差漏洞攻擊,即使用戶已用了最新版本(現為1.7.0版),仍可造成主機控制問題。

以上例子均為絕大多數的防護設備無法偵測之攻擊,由此可知,儘管現行防護設備已愈來愈多元,但唯有利用進階AI的防護,才可提升企業主動防禦的能力並真正有效偵測駭客針對特定目標的進階攻擊。