【端點防護策略地圖】
淺談 AI 偵測運用在端點安全上是良藥?(下)
AI 在資安的運用上,運用的大量大數據分析的方法邏輯,大約可以分成二種方式,而這二種方式對於資安管理而言是截然不同的,下面將與大家做一個說明。
大部份的 EDR 廠商會將 AI 分析的功能,啟用在端點的代理程式上,基本上分成二種設計;分別是將AI的引擎放在代理程式中,另一種是將訓練好的 AI 偵測模型放在代理程式中;前者就是大家所熟悉的 UEBA(User and Entity Behavior Analytics)的方式,這樣的型式需要在導入期建立Base line,需要一段讓機器學習的時間,讓系統知道那些情境在一個新環境中,哪些是合法的那些是非法的,在一段時間後,會產出一些由系統建議出的規則再由 IT 人員來判定要使用那些規則來進行防禦策略,在經驗上好處是學習出來的規格雖然非常詳細,但也要花非常多時間維護及開立所謂的例外清單,比較容易造成管理上的負擔,且一但例外清單開多了,在一些進階攻擊的初期便無法查覺,或是風險系數很低的行為在數量很多的狀況下容易被忽略,而造成損失。
另一種將訓練好的AI偵測模型放在代理程式中,舉個例子,我們把 EDR 代理程式當做警察在執行酒駕攔檢的勤務,他們在檢查前是有一個 SOP 的,會先請車主把車窗搖下來,問幾個問題,觀察一下應對,最後看一下駕照,查一下警署資料庫車牌或駕駛者的背景再決定是否要請車主下車進行第二步查驗,而這個 SOP 就好比是一個訓練好的AI偵測模型要做的事。利用這種方法,代理程式不需要花太多資源在處理及分析日常端點的作業行為是否惡意,對於端點安全在進行監控分析時,也比較不會耗用太多硬體資源,是一個相對比較好方式。以上二種方式,經驗上並沒有好與不好區別,僅在於是不是有一個完整的資安團隊協助與落實;另外一個面向 EDR 產品線著重於完整覆蓋率的問題,這是一個雞生蛋蛋生雞的問題,除了預算考量之外,工具能否支援的作業系統版本就非常重要了,這邊指出並不是新版本作業系統,在實務上我們特別需要處理的是老舊甚至原廠沒有在更新的 Legacy 作業系統,這些老舊的面臨無法升級,但又擔任要角無法被取代,甚至 IT 人員並不知道這樣的設備存放在哪?它就像個不定時炸彈,是個資安的破口,這時除了考量老舊作業是能否納入 EDR 管控,以增加覆蓋率,也要思考該 EDR 是否能與網路設備進行即時性連合防禦也就更重要了。
(FortiEDR 如何防範零時差攻擊?閱讀【端點防護策略地圖】FortiEDR 如何防範零時差攻擊?以 CVE-2022-30190 微軟 MSDT 零時差漏洞 Follina 為例 – Fortinet Taiwan )
FortiEDR 保障您的端點防護安全:https://www.fortinet.com/tw/products/endpoint-security/fortiedr
閱讀上集:淺談 AI 偵測運用在端點安全上是良藥?(上)- 精準大數據分析要素 »
★ Fortinet 推出【端點防護策略地圖】,快跟著我們一起解鎖,
Fortinet 為您量身訂做一件防護衣
全球新冠疫情屢次捲土重來,隨時隨地辦公新模式優勢凸顯。後疫情時代,企業應佈局未來,積極部署專業高效防護裝備,安全行踐混合辦公模式,Fortinet 幫助您在數位化浪潮中轉“危”為“機”。