近年来,网络安全领域的发展日新月异,但也更加痛苦。黑客和攻击技术比以前更狡猾,越来越多的组织遭遇泄密和故障。据了解,全球网络犯罪价值已达1万亿美元,仅在过去两年就飙升了50%。媒体每天都在报道新的勒索软件攻击或其他事件。劳伦斯伯克利国家实验室计算研究员Steven Hofmeyr传统的依赖病毒特征的网络安全方法越来越无效。
该行业对使用生物免疫模型来保护数据和系统感兴趣。这一概念至少可以追溯到20世纪200年代初,借鉴自然概念(包括人类免疫反应和疫苗模型),以加强对网络的保护。一些供应商使用算法和终端监控技术来识别和防止攻击者,并在该领域大力开发产品。咨询服务机构ESG实验室高级工程师Tony Palmer指出确定性保护(deterministic protection)它不是灵丹妙药,但它有助于缩小暴露的攻击面,不依赖特征、调整或学习。
重新思考网络安全保护
基于生物免疫模型的安全工具用实时发现异常的框架替换了白名单、黑名单等常规检测方法。就像人体使用抗体一样T细胞和其他机制应对外部因素,计算机网络试图尽快消除入侵活动,以避免入侵扩散和任何损害。
Gartner研究主任Eric Ahlm这意味着通过人工智能和机器学习引入生物元素的想法非常有吸引力。这一概念的几个要素出现在扩展检测和响应中(EDR)端点软件。网络安全中的信噪比很高,使用人工智能和机器学习识别不清楚信号的能力极其重要。
基于生物免疫模型的安全并没有取代其他安全工具,而是起到了辅相成的作用,因为它们可以发现经常被忽视的攻击。Palmer表示,基于对应用程序及其工作负载的深入了解,实施好的、允许的操作要明智得多,而试图将每一个潜在威胁列入黑名单,以及/或关注可能不断变化和发展的更先进的系统行为。
越来越多的企业引入生物免疫模型
越来越多的企业正在引入生物免疫模型来加强保护。例如,网络安全公司Virsec旨在使用户远离基于内存的勒索软件、远程代码执行、供应链中毒和攻击。Virsec首席执行官Dave Furneaux表示,公司花在解决方案上的钱越来越多,却看不到任何成效,如果我们要改变保护资产的方式,就需要采取全然不同的方法。
Furneaux将基于生物免疫模型的保护方法与疫苗制造商进行比较Moderna用于和辉瑞mRNA技术。该方法直接深入软件最低层的构建模块(如人体细胞),以保护整个系统。只有理解RNA和DNA,能够开发出相当于疫苗的产品。
其他网络安全供应商也在一定程度上开发了依赖生物免疫模型的产品,包括Darktrace、Vectra AI和BlackBerry Cybersecurity。例如,Darktrace使用算法不断对网络进行精细的监控和分析。它建立了一个正常的活动模型,一旦程序能够从威胁中分离干扰信号,问题就会被标记出来;如果检测到可疑行为,它可以自动关闭访问敏感信息的方式。
未来生物免疫模型可疫模型
目前,生物免疫模型仍处于起步阶段,这类安全产品有其局限性。Virsec相关产品位于服务器端,不支持微隔离或将保护机制扩展到物联网。此外,任何专注于端点数据的产品(无论分析有多到位)都看不清某些类型的攻击。Ahlm我们不能保证网络犯罪分子不会调整方法,找到闯入这些系统的方法。
然而,该领域正在开始形成规模。可以预见,确定性方法可能会扩展到服务器工作负载以外的对象,以保护整个架构上许多设备中的代码。该框架不仅可以大大减少报警和误报,还可以更换各种不同的工具,简化安全架构和部署模式。
最后,也许只有一点是肯定的:就像生物一样,网络安全是一个复杂而混乱的领域。Hofmeyr指出人类免疫系统设计不严格,必须不断适应。将这一概念应用于网络安全领域可能会带来改进。基于特点的传统安全技术不再有效,多态恶意软件和更复杂的攻击迫使组织需要更动态、更先进的框架。
参考链接:
https://www.darkreading.com/the-cyber-future/does-biology-hold-the-clue-to-better-cybersecurity-?_sp=a94d2f95-825f-49f0-8b4a-e96ddf388e1f.1644905991153