【端點防護策略地圖】
淺談 AI 偵測運用在端點安全上是良藥?(上)
這二年間有許多的資安廠商不管是防毒廠商、網路安全廠商或是系統廠商紛紛推出自己的 EDR(端點偵測及回應)的工具,不管是哪一家廠商幾乎都會標榜自己的產品有AI 人工智慧(Artificial Intelligence)或 ML 機器學習(Machine Learning)的能力,彷彿有了這個功能,就可以抵檔更新更未知的惡意程式或加密勒索軟體。
(什麼是EDR?閱讀【端點防護策略地圖】駭客攻擊手法多元化 提升端點防護力迫在眉睫 – Fortinet Taiwan )
不管是機器學習還是人工智慧依靠的是現在電腦設備的運算能力提升,加上過往經驗的各種組合,如果套用在 SIEM 或 SOC 的觀念上,就是收集了各式各樣的 LOG 來自不同的網路安全設備後,再用關聯分析的規則,找出攻擊入侵的蛛絲馬跡。換句話來說,現在大家在談的資安分析之主流,從資安設備的日誌分析轉移到端點的分析。
不管是以資安設備的日誌(Syslog)或是端點進階行為分析(EDR),大數據分析要有精準的判斷結果,需要以下兩個主要的構成要素:
- 分析的規則必需是精準有效的
- 資訊來源必需要是全面並詳盡的
在市面上,許多 EDR 產品標榜 AI 學習或 Machine learning 但如果沒有具備以上二個要件,基本在導入後理論上並不會有太大的效果,在實作上,我們在以上第一項可以參考現在大家都耳熟能詳的官方組織 MITRE ATT&CK® 組織來定義駭客攻擊的手法,但如果無法有俱細糜遺的資訊來源,在回溯攻擊來源時,或執行鑑識手段的方式時,就會有斷軌的情況產生。這是一個資安人員在佈局或考量資安規劃時,需要再三思量的地方。
FortiEDR 保障您的端點防護安全:https://www.fortinet.com/tw/products/endpoint-security/fortiedr
閱讀下集:淺談 AI 偵測運用在端點安全上是良藥?(下)- 精準大數據分析邏輯 »
★ Fortinet 推出【端點防護策略地圖】,快跟著我們一起解鎖,
Fortinet 為您量身訂做一件防護衣
全球新冠疫情屢次捲土重來,隨時隨地辦公新模式優勢凸顯。後疫情時代,企業應佈局未來,積極部署專業高效防護裝備,安全行踐混合辦公模式,Fortinet 幫助您在數位化浪潮中轉“危”為“機”。