在威胁检测公司Endgame的DNA深处,根植着一对孪生观念:隐形和攻击。这与常见的信息安全观点恰好相反。后者常常把自己打扮成可视的、防护性的。然而,Endgame相信,防护者应该正视现代化对手的攻击手段(隐形攻击),并应按需调整防御措施。
Endgame是干什么的?
据其官网资料显示,Endgame是一个网络操作平台,该平台能够在企业关键基础设置中自动寻找威胁。基于我们在威胁工具、技术及战术的方面的积累,确保您能够在killchain的早期做出反应并遏制入侵。
传统防御无法有效应对APT 威胁检测应该吸收机器学习能力
现代化对手会查找防御措施的蛛丝马迹,然后改变其恶意行为,以规避防御措施或使其失效。此类例子包括所有这样的恶意软件:查找虚拟化征兆,然后尝试规避沙箱,或者直接撒腿就跑避免被分析。另外一个例子是Caspar。Caspar会查Windows 10系统的杀毒软件WMI Class,从而得知主机上安装的杀毒软件,然后采取措施绕过或者规避该杀毒软件。Endgame建议,只有防御性的隐身,才能阻止对手发现检测措施并通过躲藏在类似的安全盲点来规避检测。
Endgame的攻击特性更为常见。传统的防御措施不再能阻止有针对性、隐形的高级攻击。防护者应该承认这一点,并主动地查找或搜寻网络入侵的细微征兆。这样做是为了尽量缩短对手的驻留时间(又叫检测需时)。根据FireEye公司的Mandiant所说,目前这一时间为146天。要发现这些征兆,需要进行大数据异常检测。这是一项高劳动密集型的任务。实际上,这一任务在现实中可以通过机器学习(machine learning)技术来达成,使得电脑自身就可以发现这些异常,并将其关联起来。
简而言之,威胁检测应该纳入机器学习能力,以主动而隐蔽地搜寻对手。但是,这里的隐蔽不是指功能,而是指过程。除了发动攻击之外,攻击者还会持续地侦察和探测防御措施,以寻找防御弱点。为了击败攻击者,防护者需要赶在攻击者发现并利用这些弱点之前找到并修复它们。问题就是如何做到这一点。
用于检测(和生成)恶意的深度对抗性架构
在这周的BSides Las Vegas聚会上,Endgame的主管数据科学家海仑.安德森(Hyrum Anderson)在演讲中提出了一种新方案。演讲题为“用于检测(和生成)恶意的深度对抗性架构”,或者说,也可以加上这样一个副标题“医生,自疗吧!”。
虽然这个方案的数学方法很复杂,但方案的原理很简单。如果机器学习能够教会电脑如何检测细微的高级威胁,那么你同样也能通过机器学习来测试和探索你的防御措施。安德森描述了机器学习红队(用来攻击蓝队,也就是你的内部威胁检测系统)的开发和使用。
在演讲中,安德森解释了如何“在红蓝对抗中使用深度学习来对付深度学习,使红蓝双方都得到提高。红队学会了如何产生恶意样本,而蓝队学会了如何区分恶意事件和良性事件。”
这一过程中,需要教会红队去理解蓝队的运行方式。理解之后,红队开始攻击蓝队。如果攻击成功,攻击经验就会被融入到蓝队的防护算法,清除了一个漏洞或者安全盲点。如果攻击失败,攻击经验就会被融入到红队的攻击算法。然后再重复整个过程。
安德森将其描述为“非合作博弈理论框架”
“一系列攻防回合之后,红队模型生成了恶意样本,用于查找蓝队检测模型中的盲点。反过来,蓝队检测模型学会了修复红队模型发现的盲点。随着两个模型的竞争,红队生成器改善了自己的生成能力,能更好地生成绕过防御措施的对抗性样本。同样的,蓝队检测器也增强了防御能力,能更好地防御红队生成器模拟出来的对抗性攻击。”简而言之,改进机器学习威胁检测的最好方式,就是机器学习模拟攻击。
Accenture和Endgame合作提供“威胁检测即服务” TDAS
昨天,Accenture和Endgame分别宣布,将合作提供“威胁检测即服务”(Threat Detection as a Service)。这项服务将包括Accenture经验丰富的威胁捕捉器和Endgame的技术。Accentrue公司的维克拉姆.德赛(Vikram Desai)说:“相对于建立一个更高的防护墙,我们给了客户主动出击的能力——在对手攻击之前就阻止他们。”
Endgame的CEO内特.菲克(Nate Fick)补充说:“我们需要在企业架构大力搜捕并在恶意行为闹出乱子之前终止它们,从而缩短对手的驻留时间。Endgame和Accenture的合作将会提供一个一直运行的、端到端的猎捕方案,比传统的入侵征兆和基于签名的工具更聪明。”
Endgame历史上一直出名于向政府客户销售攻击性的工具和0day漏洞,在最近几年开始将焦点转到向企业用户销售军事级的安全情报和分析平台。