如何利用人工智能做好端點防護

在互聯網尚未普及的時代，機構唯一需要擔心的就是內網中員工使用的辦公電腦。而現在，遠不只是在寫字樓，員工會在機場、咖啡店、酒店辦公，由于疫情時代，居家辦公更是常態。

與在公司內網上對終端進行保護相比，居家辦公的終端面臨的威脅完全不一樣。惡意軟件泛濫的游戲設備、連接互聯網的電視、音箱、攝像頭……這些智能設備的軟件可能上一次更新是在幾年前，都與你的辦公電腦處在同一個局域網。

傳統端點安全已失效

EDR（端點檢測和響應）在這五年來，似乎一直都是終端安全的最優解。但問題在于，市面上的許多EDR仍然沿用傳統的方法，嚴重依賴威脅情報和基于規則的響應。這意味著，只能看到攻擊者已經干了什么，而不知道未來會發生什么。

網絡攻擊者越來越善于逃避基于規則的檢測。他們能夠快速地關掉自己的域名，利用殺毒引擎平臺測試自己的惡意軟件，并使用雪鞋攻擊（大量IP少量連接）將黑名單對惡意域名的可見性降至最低，導致想維護一個包含最新信息的、全面的威脅情報數據庫變得更加困難。

兩名希臘的安全研究人員對18種最流行的EDR和端點保護產品進行測試，結果只有兩款產品能夠完全覆蓋測試所用的高級攻擊手段。（測試報告：https://arxiv.org/pdf/2108.10422.pdf）

人工智能驅動的行為檢測

以端點安全廠商Darktrace的自主響應工具Antigena為例，它并非通過檢測已知的IOC來觸發緩解規則，而是使用機器學習技術建立正常的網絡流量和行為模型，然后實時監控網絡，以發現與預期行為不同的任何偏差，即異常行為。如：

某用戶訪問一個陌生服務器，并試圖將文件上傳到該服務器；一臺本地機器與外部大量的地址通信，而且這些目的地之前從未聯系過；一個幾乎不發送郵件的域名給某位員工發郵件。

當發現可疑活動時，Antigena便會發出警告，也可以設置成主動模式，自動響應該異常行為。而且，它的自學習機制可以根據行為的嚴重程度采取不同程度的處置措施，從簡單的隔離電子郵件到把終端和整個網絡隔離。

終端上的輕量級代理

后疫情時代，居家辦公已是常態。員工可能會將公司的數據下載到家中的計算機上，然后有意或無意地將這些數據存儲到其他地方，比如公有云。這種混合工作環境，脫離了公司的網絡監控視線，屬于典型的網絡安全盲區。

為了填補這一盲點，無論是在辦公室、商務旅行還是在家中，都要實現終端的可視性。為此，Darktrace的端點檢測和響應(EDR)產品包含了一個輕量級代理(cSensor)，可以在Windows、Mac或Linux系統上運行，在網絡和通信級別執行異常行為的檢測，并分析終端設備上發生的情況。

例如，一個新安裝的應用程序正在與一個陌生的IP通信，或者某用戶沒有通過VPN連接到企業網絡上的另一臺設備。

cSensor還提供了額外的遙測功能，為Darktrace的其他產品提供了更多的上下文信息，幫助Antigena在更新網絡流量的自學習語料庫時，實時發現問題。

例如，當收到一封請求銀行交易的郵件時，基于cSensor提供的上下文信息，Antigena的電子郵件產品能夠識別這是否是一封來自陌生域名的發件，該域名是否是可疑的，以及是否要發出報警或做出阻攔。這一切都是在輔助訓練Antigena的自主響應能力。

監視斷開連接的設備

cSensor為機構網絡上運行的Darktrace實例建立了一個安全通道，當設備與網絡斷開連接時，可立即向后臺發出警報，并依據安全管理平臺（這里是指Darktrace的Enterprise Immune System）的情報采取相應行動。

對于不具備7*24小時監控服務，但同時又有內部監管要求的組織來說，這是一個很好的使用案例。cSensor能幫助Antigena檢測設備上的員工行為是否安全，以它確保設備不會被濫用。

Antigena還能夠通過網絡流量來監控無cSensor的端點設備，如傳感器、智能燈泡、聯網攝像頭，甚至是工業控制系統和OT設備。簡而言之，可以監控任何連進網絡的有IP地址的端點。

端點安全的未來

端點安全未來會發生很大的變化，尤其是隨著人們逐漸適應居家辦公模式，機構網絡安全監管范圍會擴大到家庭的網絡設置。如，企業可能會要求將公司業務數據與家庭個人數據進行物理隔離。這很可能意味著員工要有兩個彼此隔離的無線網絡。

端點設備一直都是網絡攻擊最為常見的入口，云計算、萬物互聯和移動辦公，更是令傳統的網絡邊界防護手段失效。網絡安全范式轉換的時代已來臨，在萬物互聯的數字世界，人工智能決定著未來攻防對抗的此消彼長。