預見性安全“又快又好”

郭濤

我們已經習慣了“互聯網+”“云計算+”這樣的說法，如今看來，AI的落地和普及也離不開“AI+”。筆者的理解，“AI+”在這里應至少包含兩層意思：第一，AI技術的開發與應用一定要與具體的應用場景相結合，這樣才能做到有的放矢，這里“+”具體是指“+應用”；第二，AI技術本身也在不斷演進之中，創新的思路和技術使AI本身變得更加強大，也能更好地服務客戶和市場，“+”在這里是指AI自身的精進和提升。

如今，AI在許多行業，比如金融、醫療、汽車等有了很多創新的應用，同時AI又在智能客服、自動運維、金融風險分析等具體的應用場景中大顯身手，這些都是最典型的“AI+”的例子。在安全領域，“AI+”的趨勢也越來越明顯。

網絡和端點安全廠商Sophos就推出了最新的Intercept X安全解決方案，以先進的深度學習技術提供預測性防護功能。這是“AI+安全”的又一個例證。Sophos中國區總經理鐘明輝介紹說，最新版本的Intercept X下一代端點保護方案結合了新的主動黑客攻擊緩減、先進的應用程序鎖定，以及增強型勒索軟件防護等功能，實現了前所未有的檢測和預防能力。AI并不是萬能的，但是在數據安全領域，它在對未知安全威脅的探知和防御方面確有獨到之處，效果也是顯而易見的。

預見性安全完美演繹“AI+安全”

伴隨著AI的出現和應用，在很多細分領域誕生了大量新的概念，比如應用感知的存儲、自動駕駛的網絡等。現在隨著Intercept X的推出，Sophos提出了“預見性安全”這個新概念。

所謂預見性，是指通過事實或經驗進行推論，或者通過精確的計算、豐富的知識進行預測。預見性安全包含三重意思：第一，它借助AI技術實現了更好的安全保護；第二，它具有更好的性能；第三，它具有更高的精確度。又快又好，這大概就是預見性安全所努力追求的境界。就像武林高手通常擁有一兩項絕技一樣，AI對于安全來說就是一項具有絕對“殺傷力”的新技能。

無論是云計算，還是物聯網，安全問題都是首先要解決的問題，不然一切新技術的應用都將是空談。隨著網絡的無限擴展，隨時隨地訪問需求的出現，安全問題也變得無處不在。安全保護并不是保護某一個點的安全，而是全面的無死角的防護。安全是一個復雜的系統，它既要保留那些基本的保護功能，比如文件掃描、程序掃描、內存掃描等，又要根據技術和安全形勢的變化，更好地規避那些新的安全風險和威脅，比如勒索軟件、偽裝、零日攻擊等。對于從事安全防護工作的人來說，預測和防御未知的威脅是最棘手的事，因為面對未知你會感到無從下手。在這種情況下，AI的出現給我們提供了一個有效的工具或者說手段，讓我們可以通過對以往的數據、事件或者經驗的總結和分析預知安全風險，從而提前做好萬全準備。

在安全領域，機器學習技術的應用并不是什么新鮮事。用于訓練中的樣本和屬性越多，預測的結果就越準確。但不幸的是，傳統的機器學習在這兩方面都有局限性，無法高效實施。鐘明輝舉例說，基于機器學習技術，傳統的決策樹方式，雖然容易實現，但是準確性相對較差；隨機森林（Random Forest）雖然可以提升準確性，但是性能不高。在這里我們又不得不重申，又快又好才是安全的王道。

Sophos Intercept X采用了深度學習技術，實現了更高的檢測率和更低的誤報率。深度學習是機器學習的最新進展，它提供了一個龐大的可擴展檢測模型，能夠學習所有觀察到的威脅形式。與傳統的機器學習相比，深度學習憑借其處理數以億計樣本的能力，以更快的速度、更少的誤報率做出更準確的預測。Sophos Intercept X之所以能夠略勝一籌，主要是因為它采用的深度學習神經網絡讓系統可以通過經驗進行學習，每一個相互連接的神經層都可以識別更多復雜的特性，從而在觀察到的行為和惡意軟件之間建立關聯。這些關聯性分析提高了對現有的和零日惡意軟件檢測的精確性，從而降低了誤報率。

企業戰略集團（ESG）高級認證分析師Tony Palmer解釋說：“傳統的機器學習模型依賴于專家威脅分析師來選擇用于訓練模型的屬性，因而增加了主觀的人為因素。隨著添加的數據越來越多，模型也變得越來越復雜，成了繁瑣而緩慢的模型。這些模型的誤報率也很高，管理員不得不親自確定哪些是惡意軟件，哪些才是合法軟件，從而降低了IT的工作效率。”ESG實驗室的分析表明，Sophos Intercept X采用的神經網絡模型很容易擴展，并且它得到的數據越多，模型就會變得越智能。這樣就可以主動進行檢測，而且不會影響管理或者系統的性能，做到了又快又好。

鐘明輝特別提到，傳統的安全產品都需要一個簽名庫，將收集到的信息與這個簽名庫進行比對，才能判別哪些是惡意軟件，哪些是安全合法的訪問。簽名庫本身會占據一定空間，在邊緣計算、物聯網越來越盛行的今天，這種基于簽名庫的安全產品不太可能用于各種小型的物聯網終端設備之上，那么對這些終端的安全保護也就無從談起了。另外，基于簽名庫進行比對總要耗費一定時間，它會影響整個系統的性能。而以Sophos Intercept X為代表的預見性安全產品，完全拋棄了簽名庫，不僅以上基于簽名庫方式的安全產品的弊端一掃而光，而且產品本身變得更加輕量化和高效，應用的場景也得到了極大擴展。

上述分析說明了，為什么融合了AI技術的下一代安全解決方案可以解決傳統安全不能解決的問題。“AI+安全”確實可以讓安全防御變得又快又好。

Sophos向前邁出了一大步

鐘明輝表示，預見性安全是IT安全的未來。將深度學習神經網絡引入業界領先的漏洞利用和勒索軟件保護產品Intercept X，是Sophos向前邁出的一大步。對未知攻擊進行主動防御，而不是等待攻擊的到來，這將改變每一家企業保護其用戶和資產的IT運營方式。

其實Intercept X于2016年9月便首次推出，已經在全球數以萬計的企業中被采用。最新版本的Intercept X讓預見性安全這一概念切切實實落地。筆者理解，Intercept X中的這個“X”代表了無限的可能性和嘗試的精神，它是推動產品自身不斷變革和演進的基礎。

預見性安全有哪些典型的應用場景呢？最新版本的Sophos Intercept X包括防勒索軟件和漏洞利用攻擊防護，以及主動黑客攻擊緩減等創新技術，例如憑證盜竊保護功能。隨著反惡意軟件的進步，攻擊逐漸集中于盜竊憑證，目的是以合法用戶身份在系統和網絡中行動，而Intercept X可檢測并預防此類事件發生。通過基于云的管理平臺Sophos Central進行部署，Intercept X能夠與任何廠商現有的端點安全軟件一同安裝，并即刻增加端點保護。當與Sophos XG防火墻一起使用時，Intercept X引入的同步安全功能，可以進一步增強保護能力。

對于Intercept X最新版本的推出，Sophos的合作伙伴有這樣的評價：“Intercept X能夠與任何廠商的端點保護方案一起安裝使用，意味著我們可以立即幫助那些有需求的用戶解決其安全問題。Intercept X簡單高效，有利于我們成為客戶信賴的合作伙伴。引入深度學習和其他增強功能也表明，Sophos正在引領安全市場的發展。”

Intercept X能夠引領預見性安全這一新的趨勢，與Sophos深厚的技術積淀密不可分。Intercept X的持續演進就是Sophos擁有30年經驗的SophosLabs網絡威脅研究所的功勞。目前，Sophos在全球擁有1億用戶，其產品的續訂率超過90%。Sophos不僅是Gartner網絡與端點安全領域魔力第四象限的常客，而且在領導者象限的位置非常靠前且穩固。

酒香也怕巷子深，奉行“渠道第一”策略的Sophos從現在開始將加大市場宣傳力度。Sophos要在預見性安全方面樹立自己的權威地位。