勒索軟件近年肆虐全球,Sophos 的《2019 年網絡威脅報告》亦指出今年網絡罪犯勢將增加向鎖定目標發動預謀的勒索軟件攻擊,以獲取數以百萬計的贖金。與此同時,香港電腦保安事故協調中心去年接獲的加密勒索軟件事故報告也高達 114 宗,可見本地企業絕不能獨善其身,而須如世界各地的機構一樣,以人工智能 (AI) 等創新科技加強保障網絡安全。
AI 包含一系列技術,當中尤以機器學習 (Machine Learning) 和深度學習 (Deep Learning) 最為人所知,但許多人亦誤以為這三者無大分別,更可交替運用。事實上,機器學習和深度學習雖同樣採用 AI 的原理,兩者卻截然不同。究竟這三項技術有何分別,以及如何應用於網絡安全?
人工智能
AI 這項因荷里活科幻電影而為人所熟悉的科技統稱,其實涵蓋包括機器學習和深度學習在內的多種創新技術理念,旨在讓裝置汲取經驗,使其能因應新數據集而自行調整,並如人類一樣執行不同工作。當應用於網絡安全時,AI 可運用機器學習和深度學習技術去分析各類檔案,偵測有否隱藏了惡意軟件——我們稱之為預測性防護 (Predictive Security)。
機器學習
機器學習可理解為用人工模式由經驗建立起知識,也就是說,人工系統會從例子中學習。這項技術不僅會記住,更能識別和學習特定的行為模式與定律。這種技術對網絡安全舉足輕重,皆因特徵碼比對法放諸現今的網絡威脅環境已不再可靠。例如惡意軟件程式編寫員只要對編碼稍作修改,相關軟件即可繞過傳統安全系統發動攻擊。反之,機器學習技術則可識別前所未知的惡意軟件,提供更周全的保護。機器學習還可憑藉使用次數及數據輸入量的增加而不斷進化和改良。演算法自會拆解檔案並分析攻擊的特性,由簡單的檔案大小以至複雜如讀取部分程式碼,務求理解其運作。
深度學習
機器學習雖好處良多,但亦有所限制 ── 難以處理大量參數以緊貼現今的網絡威脅發展,更須佔用大量電腦運算能力。此時,深度學習便可填補不足。其非結構式數據儲存於所謂「神經網絡」,可根據預測性推理模仿人腦作出決定,而效能也足以快速及準確處理數以億計的資料而不用拖慢系統。此外,深度學習毋須為解決特定問題編程便可透過數學模型學習,故能建立理解事件全貌的能力,並利用大量數據生成可準確形容「眼前」事物的模型。當這種技術應用於網絡安全,所得的數據模式則可成為關於惡意軟件、惡意網址或其他攻擊手法的趨勢分析及預測。
網絡威脅發展日新月異,企業紛紛採用 AI、機器學習和深度學習等技術,確保系統受到妥善保障。攻擊者只需一個微小的機會即可成功入侵整個機構,因此 IT 安全專業人員必須全力以赴提供足夠保護。先進的科技當然是 IT 安全的重要元素之一,能助企業免受新的惡意程式碼攻擊,但企業本身亦須以主動威脅偵測及回應功能為基礎,制定更全面的安全策略。
作者:Sophos 亞太及日本區技術方案高級總監韋頌修
