今年數據外洩頻仍,當中不乏涉及全球用戶個人資料的大規模外洩。敏感資訊未能得到完善保護,僅歐洲用戶受 GDPR 保障,本港用戶只能徒歎奈何。而據 Verizon 早前發布的《2018年資料洩漏調查報告》,三成的資料外洩事件均涉及內部人員的疏忽或惡意行為。
為針對防禦內部威脅、清除網絡盲點,Fortinet 上月便宣布收購雲端威脅分析公司 ZoneFox,將其以雲端為本的網絡威脅捕獵技術收歸麾下,整合至 FortiClient 端點保安,提供端點偵測及反應功能(EDR),同時可延伸 FortiSIEM 的功能,不論在主機或雲端均可提供額外的用戶實體行為分析(UEBA)功能,讓企業可對端點及相關數據流動及用戶行為有更深層的可視性。
整合 ZoneFox 後的 FortiClient 將具備以下功能:
- 透過機器學習的能力,從每日以 10 億計的事件抽出高質的潛在網絡威脅項目,以揭露盲點並提醒用戶注意可疑活動;
- 以雲端為本的獨特架構能收集圍繞 5 個核心因素的重要數據,包括用戶、裝 置、資源、過程及行為,從而分析及設定安全政策;
- 提供資料的完全檢驗時序記錄,結合簡單的搜尋介面,協助分析師快速決定提 升企業安全設置所需的行動;
- 零配置代理外更可擴展至支援超過 10,000 個配置代理而不會影響表現;
- 就《通用數據保障條例》(GDPR)、ISO 27001、HIPAA 及 PCI DSS 為用戶提供支援,並已具備隨時可用的安全政策。
Fortinet 安全解決方案經理吳維穎(上圖)透露,未來 Fortinet 主要集中 4 個保安領域,包括:網絡保安、雲端保安、IoT與營運技術保安,以及端點、應用和存取保安。他相信,下一波攻擊將會是保安廠商與黑客之間的 AI/ML 攻防戰。
「我們會採用 AI 去學習和預測黑客的行為和攻擊手法,但換過來說,黑客同樣可以借助 AI 去預測我們如何防範攻擊。所以明年我們將在客戶端設置多個 Deception 產品,原理與 Honeypot(蜜罐)類同。」吳維穎指出, 過去 Honeypot 只會放在 Fortinet 的伺服器上引誘黑客攻擊,繼而作出分析,如今則設置於客戶端,誤導黑客以為他們所盜取的是真的客戶資料。
2019 保安趨勢預測
吳維穎續指,有些攻擊可能會受人、過程及技術的改變而受到干擾,例如利用機器學習和自動化來處理需要大量人 力監督和介入、既沉悶又耗時的工作。隨著機器學習和自動化漸趨普及化,他預期網絡罪犯很可能會實施以下策略,建議企業緊密關注:
- 人工智能模糊測試(Artificial Intelligence Fuzzing,AIF)及漏洞檢測:模糊測試一向是專業實驗室研究人員用來偵測硬件和軟件介面及應用程式漏洞的精密技術。透過在介面或程式輸入無效、無關連性或半隨機的數據,研究人員會進行監察並檢測程式崩潰、沒有記錄的跳轉、偵錯常式、錯誤代碼和潛在的記憶體流失等事件。隨著加入機器學習功能,預測這種技術將會變得更有效和量身定制。由於網絡犯罪分子開始利用機器學習來開發自動化模糊測試程式,他們將可加快發現零日漏洞,並增加針對不同程式和平台的零日攻擊。
- 利用 AIF 的零日挖掘:AIF 可以利用受控環境中的代碼來挖掘零日漏洞,零日攻擊的速度亦會顯著加快。一旦啟用零日挖掘即服務,將徹底改變企業處理保安問題的方法,因為這些零日攻擊的出現將變得難以預測,也無從計算正確的防禦方法。現時,很多機構正使用獨立或傳統且過時的防護工具,令保安變得更具挑戰性。
- 零日的「代價」:一直以來,零日漏洞的代價都很高,因為發挖需要大量時間、精力和技能。但隨著人工智能技術的應用,這些漏洞成果 將從極為稀有變成一件商品。急劇加速的漏洞數量與種類,包括快速製造零日漏洞的能力並將之轉化成一種服務,可能會徹底改變暗網上的服務類型和成本。
- 投毒的機器學習:機器學習是其中一個在防禦保安工具包裏最有保證的工具。你可 以調控保安裝置和系統自動執行特定任務,例如行為基線、使用行爲分析來識別複 雜的威脅風險或者追蹤和修復裝置,惟網絡罪犯同時亦會濫用這項技術。針對 機器學習流程,網絡罪犯可以調控裝置或系統,以停止使用漏洞修補或更新某個特定 裝置、忽視特定的應用程式種類或行爲,或者暫停記錄特定流量以逃避偵測。
