Sophos 宣布四個全新的開放式人工智能(AI)開發成果,有助擴大和提升業界防禦網絡攻擊的能力,當中包括專為促進行業合作創新而設的數據集、工具及研究。此舉加速了Sophos的一項首要目標,即開放其數據科學突破,並使網絡安全中的 AI應用變得更透明,務求加強保護企業並免受各種網絡犯罪的侵害。
(新聞稿)
即使業界共享 AI 研究和成果頗為常見,在網絡安全的領域中依然滯後,人們對 AI 能夠真正抵禦網絡威脅的理解仍不清晰。Sophos 與 SophosAI 數據科學家團隊正在促進此項開放性轉變,使IT經理、安全分析員、財務長、行政總監以及其他負責安全採購或管理的決策人員,於公平及充分理解的環境下理性討論和評估AI的益處。
Sophos 首席技術總監 Joe Levy 指出:「通過 SophosAI 最新展開的研究方案,我們能夠塑造 AI 在未來網絡安全中的定位和影響。如今,有關 AI 在解決方案中的效能的說法含糊其詞和保守,令買家們較難理解或驗證不同說法。因此令導致買家抱著懷疑態度,並在我們剛看到突破性前景時對進展帶來阻力。以標準或法規的等外部機制較難及時糾正現狀,相反,它需要我們來自民眾力量和行業的自我監管,才能形成一套具顛覆性,開放和透明的操作方式及語言推動行業發展。」
AI 技術對網絡安全有着巨大潛能,對這次轉變的關鍵性亦一言難盡。 Sophos 的證據顯示,防御一方正面對更多人為惡意攻擊,不斷提高入侵技術水平,並發起高度情境化的商業電郵詐騙(BEC) 偽造活動,或不斷開發全新勒索軟件攻擊。面對這些不同類型的網絡攻擊,可擴展而高效的防禦措施需要 AI 技術的支援。對運用 AI 來應對安全威脅的案例進行開放式和同業討論能夠刺激創新和突破,推動整個行業的發展。
Sophos正為四大重要領域提供數據集,工具和研究:
SOREL-20M 數據集加速惡意軟件檢測研究
作為 SophosAI 與 ReversingLabs 之間的一個聯合項目,SOREL-20M 是一個具生產規模的數據集,其中包含 2000 萬個 Windows 便攜式可執行文件(PE)所需的元數據(metadata),標記和功能。 項目亦包含一千萬個惡意軟件的破解樣本可供下載,目的為研究提取特質並,以促進整個網絡安全的行業發展。SOREL-20M 是首個可供大眾使用而具生產規模惡意軟件研究的數據集,當中配備一組已整理和標記的樣本以及安全性相關的元數據。
AI 驅動防冒充保護方法
SophosAI 的防冒充保護技術旨在防止魚叉式電子郵件釣魚攻擊,攻擊者利用具影響力的人士身分,誘騙收件人採取某些行動令攻擊者因而受益。這項全新保護技術將電郵收件的顯示名稱與高層主管的銜頭進行較對,高層主管銜頭很可能是在欺騙性攻擊中被利用,例如財務長、行政總監或主席等,均是企業所獨有的資料,系統保護技術會將可疑電郵進行標記。Sophos 不斷利用數百萬已破解攻擊電子郵件樣本為 AI 系統進行訓練。SophosAI 革新了現時創新保護方式,並已在 Defcon 28 和 Arxiv 論文中公開討論。
數碼流行病學原理斷定未被偵測的惡意軟件
SophosAI 更創建了一套以流行病學為靈感的統計模型,用於估計整體惡意軟件的傳播率,Sophos 因此能夠估計或有更高機會發現 PE 文件堆內的源頭。SophosAI 率先開發並向外推出此方式,可以幫助確認惡性「暗物質」- 被遺漏或錯誤分類的惡意軟件以及攻擊者正開發的「未來惡意軟件」。這個模型專為可擴展到其他類別的文件和資料系統結構而設,並在《Sophos 2021網絡威脅報告》內詳細探討。
YaraML 自動化特徵碼合成器
特徵碼合成用於探測惡意軟件系列是一個艱辛的人工過程。研究人員多年提出多種自動化特徵碼合成方法,由於它們都不及人工方法有效,因此大多數尚未被採用。SophosAI成功開發一種全新自動特徵碼合成方式,名為YaraML,此方法與此前的方法截然不同,採用基於AI的方式解決問題。SophosAI直接將商業安全產品使用得十分純熟,並且具實力的機器學習模型整合為特徵碼語言,從根本上允許AI「編寫」特徵碼。事實證明,此方法有效得多,並且是保安業界的一項突破。 SophosAI亦為 YaraML 開放源碼 。
以上四項均為 SophosAI 最新成果,SophosAI 不單能像初創企業培育般創新運作,亦擁有近十億美元規模跨國企業的知識產權資源,匯集來自 SophosLabs 和Sophos Managed Threat Response 團隊以及數以十萬計客戶的智慧。SophosAI 另一優勢便是能夠將新技術直接增添至產品內。Sophos 可以透過這個模型快速響應市場需求,預測行業趨勢並提高開放度,以實現更大規模的網絡安全業界合作與創新,對發展針對敏捷攻擊者的防禦措施至關重要。