生物免疫模型是網絡安全的終極出路？

近年來，網絡安全領域的發展可謂日新月異，卻也更痛苦不堪。黑客和攻擊技術比以往更狡猾，越來越多的組織遭遇泄密和故障事件。據了解，全球網絡犯罪案值已達到1萬億美元，僅在過去兩年就猛增50%。媒體每天都在報道新的勒索軟件攻擊或其他事件。勞倫斯伯克利國家實驗室的計算研究員Steven Hofmeyr表示，依賴病毒特征的傳統網絡安全方法越來越沒有效果。

業界對運用生物免疫模型來保護數據和系統重新產生了興趣。這個概念至少可以追溯到2000年代初，借鑒了自然界的概念（包括人類免疫反應和疫苗模型）以加強對網絡的保護。一些供應商利用算法和端點監控技術以識別和防范攻擊者，并在該領域大力開發產品。咨詢服務機構ESG的實驗室高級工程師Tony Palmer指出，確定性保護（deterministic protection）并非靈丹妙藥，但它有助于縮小暴露的攻擊面，無需依賴特征、調整或學習。

重新思考網絡安全保護

基于生物免疫模型的安全工具將白名單、黑名單及其他常規檢測方法換成了實時發現異常的框架。就像人體使用抗體、T細胞及其他機制對外來因子做出反應，計算機網絡試圖及早消滅入侵活動，以免入侵擴散、造成任何破壞。

Gartner研究主任Eric Ahlm表示，通過人工智能和機器學習引入生物元素這個想法很誘人，這個概念的幾個要素正出現在名為擴展檢測和響應（EDR）的端點軟件中。網絡安全中的信噪比非常高，使用人工智能和機器學習來識別不清楚的信號這項能力極其重要。

基于生物免疫模型的安全并不取代其他安全工具，而是起到相輔相成的作用，因為它們可以發現經常不被注意的攻擊。Palmer表示，相比試圖將每個潛在威脅列入黑名單，及/或關注可能不斷變化和發展的更高級系統行為，基于對應用程序及其工作負載的深入了解，實施好的、允許的操作要明智得多。

越來越多的企業引入生物免疫模型

越來越多的企業正引入生物免疫模型來加強保護。例如，網絡安全公司Virsec旨在使用戶遠離勒索軟件、遠程代碼執行、供應鏈中毒和基于內存的攻擊。Virsec首席執行官Dave Furneaux表示，公司花在解決方案上的錢越來越多，卻看不到任何成效，如果我們要改變保護資產的方式，就需要采取全然不同的方法。

Furneaux將基于生物免疫模型的保護方法比作疫苗制造商Moderna和輝瑞使用的mRNA技術。該方法徑直深入到軟件最低層的構建模塊（好比人體細胞），以保護整個系統。只有了解了RNA和DNA，才能開發出效果等同于疫苗的產品。

其他網絡安全供應商也開發出了某種程度上依賴生物免疫模型的產品，包括Darktrace、Vectra AI和BlackBerry Cybersecurity。例如，Darktrace使用一種算法，不斷精細化地監控和分析網絡。它建立了正常活動模型，一旦程序獲得從威脅中分離出干擾信號的能力，就會將問題標注出來；如果檢測到可疑行為，它還能自動關閉訪問敏感信息的途徑。

生物免疫模型未來可期

目前，生物免疫模型仍處于起步階段，這類安全產品有其局限性。比如，Virsec的相關產品位于服務器端，不支持微隔離或將保護機制擴展到物聯網。此外，任何專注于端點數據的產品（無論分析多到位）仍看不太清某些類型的攻擊。Ahlm補充道，我們也不能保證網絡犯罪分子不會調整方法、找到闖入這些系統的途徑。

不過，該領域正初具規模。可以預見，確定性方法可能會擴展到服務器工作負載之外的對象，以保護整個架構上眾多設備中運行的代碼。這種框架不僅可以大大減少警報和誤報，最終還可以取代多種不同的工具，從而簡化安全架構和部署模式。

最后，也許只有一點是肯定的：就像生物界一樣，網絡安全界是復雜而混亂的領域。Hofmeyr指出，人類免疫系統不是嚴格設計的，它們必須不斷適應。將這一理念應用于網絡安全領域可能會帶來改進。基于特征的傳統安全技術不再足夠有效，多態惡意軟件和更復雜的攻擊已迫使組織需要一種更動態、更先進的框架。