疫苗的原理是,将病原微生物及其代谢产物,经过人工减毒、灭活或利用转基因等方法制成的用于预防传染病的自动免疫制剂,就是说,只要注射了疫苗,产生了抗体,人体在一段时间内就留着这些抗体,当同样的病毒出现的时候,这些抗体就能用来对抗这些病毒。
反病毒软件也是一样,只要遭受了病毒的侵袭,反病毒软件的病毒库中就出现了这种病毒的抗体,病毒库适用于所有装了防病毒软件的电用户,这一做法看起来没什么问题。从最早病毒出现到找到病毒的对抗方法是需要时间的,没受到袭击的用户得到更新的病毒库也需要时间。
病毒攻防是场战争,兵贵乎神速,0DAY漏洞频发,在补丁方案发布前,变种的病毒还经常能肆虐一番,有没有更好的解决方式吗?有的,这就是人工智能,未卜先知,能防患于未然。
Intercept X从桌面端到服务器端
2018年8月初,Sophos在北京介绍了最新的产品——Intercept X for Server,之前有一个产品叫做Sophos Intercept X是针对终端市场的,比如桌面端的Windows,Linux,Mac之类的,这次推出的是专门针对服务器的产品,同样是基于深度学习,神经网络的杀毒软件。
所谓EPP是指端点保护平台(EPP),它是部署在端点设备上的解决方案,用于防止基于文件的恶意软件攻击,检测恶意活动,并提供响应动态安全事件和警报所需的调查和修复功能。
Sophos提供专为勒索软件和漏洞利用保护而设计的Sophos X,以及具有EDR功能的Root Cause Analysis产品,收购了Invincea之后,Sophos有了基于机器学习的恶意软件检测产品。
Sophos在端点防护平台(EPP)的市场表现非常抢眼,在Gartner魔力象限中处于领导者的位置。从Gartner的评价来看,其综合表现仅次于Symantec,EPP市场参与者众多,Global Market Insights的预测指出,到2024年,端点安全市场将达到75亿美元。
Intercept X的推出,标志着Sophos从桌面用户到2B服务器用户,对此,Sophos看中的是市场前景,因为服务器的安全形势非常严峻。
服务器之所以会成为被攻击目标,是因为有以下几大类情况:一个是会用来勒索,比如WannaCry这种勒索软件,比较常见的是找出漏洞提权,窃取关键信息,还有的是纯属恶意破坏,近几年,随着虚拟货币价值的提升,黑客开始用别人的服务器来挖矿,偷的是计算资源还有电费。以上种种,都会给企业带来很大经济损失。
如今的网络威胁越来越复杂。从Sophos中国区总经理钟明辉的介绍中了解到了几个令人瞠目结舌的数据:SophosLabs每天接受和处理40万个看不见的恶意软件,在过去一年中,54%的被调查企业收到过勒索攻击,平均损失约为13.3万美金,调查还发现,有一半以上的威胁被交付于非恶意的可执行文件。
根本原因在于原来基于病毒库的查杀方式非常落后,被动应对的方式非常落后。
基于深度学习神经网络的Intercept X
Sophos Intercept X可用来应对越来越复杂的网络威胁。Sophos的深度学习神经网络基于数以亿计的样本训练,能够搜寻恶意代码的可疑属性,使用户免受前所未见的恶意软件的攻击。根据SophosLabs的研究显示,企业发现的恶意软件当中有75%是从未见过的,表明绝大部分恶意软件都是前所未见的。
Sophos用深度学习技术来停止未知的威胁的做法取得了很好的效果。摩根斯坦利首席检察官表示,Sophos Intercept X是其在测试中见过性能最好的产品。在防止勒索方面,Sophos Intercept X的表现也不错,ESG实验室的专家对Intercept X进行了测试,结果Intercept X停止了所有勒索攻击,在漏洞利用防护方面,Sophos Intercept X的效果也很不错。
SophosLabs在野外发现的恶意软件分析给出的数据显示,Sophos的深度学习技术在病毒检测的准确性有很大提升,与传统端点安全性技术的做法相比,真阳性率有大幅提升,与基于机器学习的端点安全性方案相比,综合了机器学习和深度学习技术的Sophos更胜一筹。
MRG Effitas的测试中,Sophos在Malware(恶意软件)检测精准率排在第一位,在PUA(可能有害的应用程序)检测中的准确率也排在第一位。在漏洞利用保护方面,Sophos也是排在第一位,远超行业友商的表现。
在钟明辉看来,这些成绩一方面要归功于Sophos Intercept X的机器学习和深度学习技术,一方面更要归功于长期积累下来的病毒行为数据,成立近三十年来,Sophos积累了大量的过往数据,能使得训练的模型更精准。
混合云就绪的Sophos Intercept X
Sophos Intercept X是混合云就绪的,除了部署在本地的服务器上之外,还能部署在Azure和AWS的虚拟机上,能与IaaS集成,这样一来就能将安全保护的范围扩大到云上,通过Sophos来确保工作负载安全,Sophos通过将不同产品整合到Sophos Central上,云端服务器的管理也集成到了一个统一的页面当中,满足企业混合云管理在安全方面的需求。
总结来看,用于服务器的Sophos Intercept X的新功能有很多,除了上面提到的深度学习技术,还有已知漏洞利用防护,主动对抗缓解,Root case analytics(根本原因分析)等功能,将原有的功能,以及一些创新的服务集成到了新的以深度学习和机器学习为亮点的Intercept X for Server上。
云计算改变了传统的IT形态,安全的边界和安全的手段也发生了很大变化,从安全的趋势来看,人工智能的应用已经是大势所趋,安全服务商需要在长期以来的安全行业的基础上,有所创新,用人工智能的手段对抗日趋复杂的安全问题。