RSA大会来到第三天,Fortinet全球安全战略官Derek Manky发表了主题为“Order vs Mad Science: Analyzing Black Hat Swarm Intelligence ”的精彩演讲。
如果说在去年人工智能(AI)还在安全领域还是一个炒作话题的话,今年必将看到大量人工智能在安全领域的落地实践。从本次RSA大会的展区就能看出一二,虽然参展的几十家厂商身处不同的安全细分市场,提供不同的安全产品,但是今年最共同的一点就是大家都在想与会观众诉说着自己的新产品,新技术是如何通过人工智能,机器学习来帮助最大程度上提升安全水平。
作为CTA(网络威胁联盟)的创始成员,全球威胁情报领域的实践者与领军者,Fortinet自然也将人工智能引入到了自己的产品技术组件中。本次Derek发表的演讲中提出的Swarm Intelligence(群体智能)便是人工智能领域的概念之一。
Derek首先介绍了过去一年Fortinet发现的众多0day,以及对多个僵尸网络的深入研究成果,并用一系列快速的攻击现场演示将听众带入了一个“黑客”的世界。随后介绍了僵尸网络(Botnet)的传统形态以及根据FortiGuard全球威胁研究与响应实验室的深入研究总结出的下一代僵尸网络的特点。
Derek认为,下一代僵尸网络最大的特点将是Swarm,即不再是依靠中心化的C2,而是实现去中心化的连接,基于一定的算法进行自组织的一套点对点僵尸网络,也就是通过群体智能来构建一套健壮/稳定的僵尸网络,可以极大程度上扩展攻击链,加速攻击速度,并且可以完全不需要人工介入。类似的情况在Hajime上已经发生,这是一个智能的IoT僵尸网络,跨近10种平台,在2016年10月25日第一次被检测到,FortiGuard现在每天还可以检测出3万次Hajime的通信活动。
在不断进化的攻击面前,防御一方也应该进行相应的进化,并且从Black Hat采用的思路中进行借鉴来进行更好的防御,而核心正是围绕着群体智能这一概念,这也是本次Derek演讲议题的来源,维护秩序的白帽与“疯狂科学家”黑帽在群体智能这个领域展开对抗。
弱者在自然界生存的不二法则就是要团结一致,成群活动,比如蜜蜂,蚂蚁等动物都是这样。在如今的安全重灾区“IoT”领域,虽然每一个IoT设备的处理能力都十分有限,但是他们的最大特点就是互相连接,且数量巨大,从而形成群体效应。过去一两年爆发的基于IoT的攻击,不论是Miria还是Hajime都是这样。
面对成群结队的攻击,如果防御方不能将自己的网络、设备“团结”起来,就注定输在起跑线上了。因此Fortinet始终倡导整合,协同,联动,甚至生态,希望能够帮助用户构建一套足以和敌方抗衡的Fabric网络,这也是Fortinet Security Fabric安全框架的来源,在Security Fabric内部,彼此连接,情报共享,形成群体智能。
被AI赋能的恶意软件和僵尸网络检测是FortiGuard的核心能力,也正是基于AI的能力,Fortinet才能持续快速,及时地输出大量威胁情报,并和Security Fabric生态内的安全产品形成协同联动。生态内大量的安全产品能够形成协同,使得网络内的微隔离成为可能,将攻击对手限制在一个个微小的隔离区域内,使其无法横向传播与扩散,将一条完整的攻击杀伤链切断。基于整个生态的协同联动,足以让用户应对不同攻击面的威胁,不论是IoT,网络,Web,还是Email等等,并且彼此间能够进行自组织和自动化调整,提升安全响应速度,做到及时发现及时解决,让对手寸步难行。