莊敬賢

　　回顧2017年的全球安全態(tài)勢，惡意軟件的演變是最重要的攻擊動態(tài)之一。基于網(wǎng)絡的勒索軟件蠕蟲，毀滅性供應鏈攻擊，偽裝成勒索軟件的破壞性擦除程序惡意軟件——惡意軟件類型和系列的數(shù)量與種類不斷增多，這大大削弱了防御者為掌控威脅而付出的努力，造成其長期處于混亂狀態(tài)。但是，防御者不應陷入攻擊者日常沖突所帶來的混亂，以致無法注意到危機即將來臨時的明顯跡象。我們建議客戶要密切關(guān)注全球各大地區(qū)的安全形勢變化，與時俱進，采用自動化水平更高的高級工具（如機器學習和人工智能），對威脅防御、檢測和補救進行補充，不斷完善防御體系。

　　基于思科2018年度網(wǎng)絡安全報告（ACR）對于過去12-18個月內(nèi)全球威脅情報和網(wǎng)絡安全趨勢的豐富研究成果，我想與大家分享以下三點重要的觀察，以說明人工智能和機器學習技術(shù)對于當今威脅防御的重要性：

　　各類惡意軟件和惡意軟件家族規(guī)模和種類不斷增長，眾多攻擊者越來越善于隱藏其惡意攻擊活動。正如思科研究人員所預測的那樣，攻擊者在2017年將惡意軟件提升到了新的水平�；�于網(wǎng)絡的勒索軟件蠕蟲在發(fā)起勒索軟件活動時不再需要人為參與。更糟糕的是還有像Nyetya這種偽裝成勒索軟件的擦除程序惡意軟件，它們專門設計用來刪除系統(tǒng)和數(shù)據(jù)。Nyetya攻擊活動也是供應鏈攻擊，這是我們的研究人員在2017年觀察到的眾多攻擊形式之一。供應鏈攻擊可以迅速影響計算機，規(guī)模大且速度快，并且會持續(xù)數(shù)月甚至數(shù)年。

　　思科？ 2018年度網(wǎng)絡安全報告（ACR）指出，截止2017年10月，加密流量在全球網(wǎng)絡流量中所占的比例已達到50%，相較于2016年11月，加密網(wǎng)絡流量增長了12個百分點。隨著這一數(shù)量的增長，攻擊者似乎正在更多地使用加密技術(shù)，作為隱藏其命令與控制活動的工具。我們的研究人員發(fā)現(xiàn)，在12個月內(nèi)，檢測到的惡意軟件樣本所使用的加密網(wǎng)絡通信增加了三倍；截至2017年10月，在我們分析的40多萬個惡意二進制文件中，大約有70%至少使用過某種加密。盡管加密技術(shù)有益于提高安全性，但攻擊者采用加密來隱藏命令并控制活動，使得加密流量為惡意軟件的傳輸和控制提供了可乘之機。作為勒索軟件攻破網(wǎng)絡抵御的重要入口，加密流量體量的大量增加，讓防護者很難識別、監(jiān)控出潛在的安全威脅。

　　鑒于惡意軟件將通信隱藏在加密網(wǎng)絡流量之內(nèi)，以及網(wǎng)絡內(nèi)部的惡意人員利用企業(yè)云系統(tǒng)發(fā)送敏感數(shù)據(jù)，安全團隊需采用有效的工具來防止或檢測使用加密技術(shù)隱藏的惡意攻擊活動。鑒于此，越來越多的企業(yè)探索使用機器學習和人工智能。這些高級功能可以學習在大量加密網(wǎng)絡流量中識別異常模式，并在需要時自動提醒安全團隊進行深入調(diào)查。

　　首席信息安全官 （CISO）接受了思科2018安全能力基準研究采訪，在報告中表示，他們迫切需要增加可使用人工智能和機器學習的工具，并認為他們的安全基礎設施越來越復雜化和智能化。但此類系統(tǒng)生成的大量誤報也讓他們感到沮喪，因為誤報增加了安全團隊的工作量。隨著機器學習和人工智能技術(shù)的成熟，并了解到他們所監(jiān)視的網(wǎng)絡環(huán)境中哪些是“正常”活動，這些擔憂逐漸減少。

　　面對日益升級的勒索軟件威脅，不斷增長的加密流量規(guī)模，思科將機器學習、人工智能應用到安全領(lǐng)域，打造深度學習感知、智能協(xié)作的創(chuàng)新安全架構(gòu)，最終為客戶提供有效的安全。

　　值得關(guān)注的是，思科Stealthwatch加密流量分析技術(shù)可以在無需對加密流量進行解密的情況，運用網(wǎng)絡感知分析方法，識別隱藏在加密流量中的惡意軟件。該系統(tǒng)針對加密流量內(nèi)部的元數(shù)據(jù)進行機器學習算法分析，準確定位加密流量中的惡意模式，實現(xiàn)更快更精確的判斷，幫助企業(yè)快速確定可能受到感染的設備和用戶，最終提升企業(yè)面對安全事件時的響應速度和水平，準確率超過99.99%。憑借加密流量分析技術(shù)，思科已經(jīng)成功解決了安全行業(yè)所面臨的最艱巨的挑戰(zhàn)，使安全團隊能夠兼顧安全與隱私，并且顯著降低成本。目前，Stealthwatch已經(jīng)在全球眾多客戶端實施，成功地幫助企業(yè)提升高級安全威脅檢測和調(diào)查能力，豐富安全合規(guī)檢查的技術(shù)手段，加強網(wǎng)絡和應用的性能可視化分析監(jiān)控，全面提高可視化能力和事件響應能力。

　　思科深知，只有將機器學習和人工智能應用到安全防御之中，才能不僅通過已知的威脅來尋找同類威脅，更能通過已知的威脅去發(fā)現(xiàn)未知的威脅，甚至通過分析未知的威脅數(shù)據(jù)來尋找未知的威脅。另一個值得分享的應用是利用機器學習技術(shù)檢測可能存在的內(nèi)部威脅——思科威脅研究人員對于34個國家的15萬用戶呈現(xiàn)的數(shù)據(jù)泄露趨勢進行了研究，其所采用的算法不僅記錄了用戶下載文件的容量，也充分考慮了其他變量，如：下載的具體時間，IP地址，地點。在1.5個月中，這個由機器學習技術(shù)驅(qū)動的算法對于每個用戶的異常行為進行了研究，標記的可疑下載用戶占0.5個百分點。這個數(shù)目雖然不大，但這些用戶在1個半月內(nèi)總共從企業(yè)云系統(tǒng)上下載超過390萬份文檔，平均每位用戶下載5200份文檔。其中，62%的可疑下載發(fā)生在正常工作時間之外，40%發(fā)生在周末。機器學習算法有希望對云和用戶行為提供更高的可視性。如果防御者能夠在下載方面預測用戶行為，則可節(jié)省花在調(diào)查合法行為上的時間，還可以介入阻止?jié)撛诠�擊或發(fā)生數(shù)據(jù)泄露事件。

　　作為網(wǎng)絡和安全領(lǐng)域的行業(yè)領(lǐng)導者，思科擁有得天獨厚的優(yōu)勢，不斷為客戶推出更強大的端到端的可視性與安全性。

　　思科（NASDAQ：CSCO）是全球科技領(lǐng)導廠商，自1984年起就專注于成就互聯(lián)網(wǎng)。我們的人才、產(chǎn)品和合作伙伴都致力于幫助社會實現(xiàn)安全互聯(lián)，并且把握未來的數(shù)字化機遇。