安全运营中心(SOC)的分析师擅长推理和决策,但很少有公司能负担得起24小时的安全团队。即使有可能,大量的网络数据和告警也会让安防人员疲惫不堪、无所适从。而且,在可预见的未来,随着物联网设备的爆发式增长,将会有更多的端点、流量、应用……传统的安全自动化SOC试图通过自动化来解决这个问题。比如SOAR(SecurityOrchestrationAutomationandResponse),它试图通过一个自动化的事件响应剧本(playbook)来协调安全设备之间的活动,从而简化分析师的工作。SOAR在某种程度上是有用的,但SOAR实际上是一个带有触发器的复杂流程图,它只能对接收到的信号起作用,并根据它看到的内容做出有限的响应。这些信号所需的数据非常严格,例如基于IoC的签名,以及用于处理特定类型恶意软件的预定义规则。这种基于经验的工具不允许传统的安全自动化系统适应不断变化的环境。比如企业自身内部基础设施和业务行为的变化,以及外部攻击者对TTP(攻击技术、工具和流程)的不断发展。环境会根据多种因素发生变化,包括事件中涉及的人员、设备、位置,甚至一天中的时间。从自动化安全到自我响应自2016年以来,英国网络安全公司Darktrace采取了不同的方法来改变这种状况。它使用人工智能自主响应,而不是传统的自动化安全。两者之间的区别在于前者不需要遵循一组预定义的步骤来处理已知条件。Antigena(Darktrace的自主响应工具)基于原生AI,与自动化系统的实现方向相反。一开始没有规则,没有签名,一切从“新”开始,了解用户组织的运作模式。Antigena通过观察组织数字活动的各个方面进行学习,并在此过程中创建常规统计模型。该模型必须包含一组活动以适应事件的上下文。例如,对一名员工来说正常的事情可能对另一名员工来说不正常。虽然每个员工都会在公司的基础设施上留下数字足迹,但Antigena使用这些足迹来建立对背景的基线理解,收集数以千计的数据点。基础设施的基线是通过跟踪各种数字活动形成的,甚至可以结合其他安全工具,如Checkpoint、Cisco、Fortinet和PaloAlto,观察用户自己的网络发生了什么,从而全面了解正常的访问行为.例如观察员工电子邮件交互、从电子邮件内容中学习并相应地创建元数据。人工智能在电子邮件安全中的使用尤为普遍,因为电子邮件是网络攻击最常见的途径之一。举一个典型的例子,当企业的高管收到一封钓鱼邮件时,Antigena会发现其中的异常,包括发件人和收件人的身份、邮件中隐藏的URL等,并最终导致自主响应系统怀疑,以防止进一步损害其他基础设施。除了电子邮件之外,Darktrace的自主人工智能还包括观察客户的云行为,例如监控SaaS应用程序中的活动以及混合基础架构中发生的事情。在一个真实的案例中,一名试图报复一家公司的IT管理员从该公司的SaaS帐户下载了敏感文件,然后使用IT部门批准的文件传输帐户(VPN)逃避文件传输监控,悄悄将文件传输到家里.然而,Antigena发现SaaS账户下载的文件过大,不仅阻止了文件上传,还阻止了心怀不满的员工使用VPN进行远程连接。自动响应处理级别不了解上下文的自动响应工具通常会冒业务停机的风险。自动化主要响应工具可以将可疑活动放在上下文中,了解事件的细微差别,并确定哪些操作可以在维持正常业务运营的同时控制风险。在最简单的情况下,在某些情况下,事件可能根本不需要自主响应。或者AI可以简单地通过将附件转换为无害文件类型来抵消攻击。在某些情况下,Antigena只需要阻止一封电子邮件即可进行局部攻击。在上面的“心怀不满的员工”示例中,Darktrace的系统双重锁定了链接,防止任何人点击它,并将电子邮件移至高管的垃圾邮件文件夹。在最极端的情况下,当服务器正在向它以前从未联系过的目的地发送信息时,Antigena可能会隔离该服务器,阻止所有流量,以防止该服务器成为攻击其他内部企业资产的“强健”服务器。Bridgehead”。攻击链自主响应任何人工智能的自主响应都不可能“开箱即用”,Antigena也不例外,需要更多了解用户企业的运行流程,才能逐步开始应对以所谓的人工确认模??式检测异常行为并推荐缓解措施。只有在客户足够信任系统后,他们才会开启主动模式,该模式提供自主响应而无需人工干预。以下是自主响应如何缓解典型的勒索软件事件:(1)初始阶段在勒索软件攻击期间,“零号病人”(即第一个受害者)从服务器公司网络上的所有设备下载一个可执行文件,这些设备从未接触过。这时,自主反应系统会对其进行标记和记录。由于系统还没有开启主动模式,攻击进入下一阶段。(2)联系C2勒索软件感染的下一阶段通常是与C2服务器通信以获得进一步的指示。通常受感染的设备通过GET请求与C2服务器通信,并使用自签名SSL证书加密与其他计算机的通信。此时,为了保护公司网络上的其他资产,Antigena介入并阻止来自该受感染设备的所有流量。(3)横向移动横向移动是指勒索病毒试图在企业网络中进行扩展,以在其他设备上立足,寻找目标数据。在这种情况下,受感染的设备开始扫描其他内部设备的RDP和SMB端口,如果发现漏洞,它会建立连接并继续用恶意文件感染这些设备。如果Antigena在攻击模式下启用,它将首先阻止攻击者的SMB连接请求,如果它检测到连续的连接尝试,它将阻止与设备的所有通信。(4)数据加密加密用户数据是勒索软件在勒索前的主要目标(一些攻击者已经开始勒索公共数据)。在一个基于零日漏洞的勒索软件攻击案例中,Antigena注意到网络上的一台机器正在访问数百个通过SMB共享并实施加密的Dropbox文件。Antigena的权限可以封锁所有异常连接五分钟,并利用这几分钟将被控设备与网络隔离,为调查取证留出充足的时间。最终,利用零日漏洞的勒索软件在被AI破解时只加密了4个文件。结语自主响应是一项很有前途的技术,它利用机器的速度和规模来捕捉攻击。由于未来可能的趋势,它将变得越来越重要。另一方面,安全专家也认为,精密复杂的攻击将越来越自动化,甚至自主化。在Darktrace和麻省理工科技评论联合对300多名C级高管进行的一项调查中,超过三分之二的人表示他们预计人工智能将成为假冒和有针对性的网络钓鱼工具包。超过一半的人担心使用自主技术的勒索软件效率更高。或许,唯一的出路就是“以自治抗自治”。
