如何利用人工智能做好端点防护

在互联网尚未普及的时代，机构唯一需要担心的就是内网中员工使用的办公电脑。而现在，远不只是在写字楼，员工会在机场、咖啡店、酒店办公，由于疫情时代，居家办公更是常态。

与在公司内网上对终端进行保护相比，居家办公的终端面临的威胁完全不一样。恶意软件泛滥的游戏设备、连接互联网的电视、音箱、摄像头……这些智能设备的软件可能上一次更新是在几年前，都与你的办公电脑处在同一个局域网。

传统端点安全已失效

EDR（端点检测和响应）在这五年来，似乎一直都是终端安全的最优解。但问题在于，市面上的许多EDR仍然沿用传统的方法，严重依赖威胁情报和基于规则的响应。这意味着，只能看到攻击者已经干了什么，而不知道未来会发生什么。

网络攻击者越来越善于逃避基于规则的检测。他们能够快速地关掉自己的域名，利用杀毒引擎平台测试自己的恶意软件，并使用雪鞋攻击（大量IP少量连接）将黑名单对恶意域名的可见性降至最低，导致想维护一个包含最新信息的、全面的威胁情报数据库变得更加困难。

两名希腊的安全研究人员对18种最流行的EDR和端点保护产品进行测试，结果只有两款产品能够完全覆盖测试所用的高级攻击手段。（测试报告：https://arxiv.org/pdf/2108.10422.pdf）

人工智能驱动的行为检测

以端点安全厂商Darktrace的自主响应工具Antigena为例，它并非通过检测已知的IOC来触发缓解规则，而是使用机器学习技术建立正常的网络流量和行为模型，然后实时监控网络，以发现与预期行为不同的任何偏差，即异常行为。如：

某用户访问一个陌生服务器，并试图将文件上传到该服务器；一台本地机器与外部大量的地址通信，而且这些目的地之前从未联系过；一个几乎不发送邮件的域名给某位员工发邮件。

当发现可疑活动时，Antigena便会发出警告，也可以设置成主动模式，自动响应该异常行为。而且，它的自学习机制可以根据行为的严重程度采取不同程度的处置措施，从简单的隔离电子邮件到把终端和整个网络隔离。

终端上的轻量级代理

后疫情时代，居家办公已是常态。员工可能会将公司的数据下载到家中的计算机上，然后有意或无意地将这些数据存储到其他地方，比如公有云。这种混合工作环境，脱离了公司的网络监控视线，属于典型的网络安全盲区。

为了填补这一盲点，无论是在办公室、商务旅行还是在家中，都要实现终端的可视性。为此，Darktrace的端点检测和响应(EDR)产品包含了一个轻量级代理(cSensor)，可以在Windows、Mac或Linux系统上运行，在网络和通信级别执行异常行为的检测，并分析终端设备上发生的情况。

例如，一个新安装的应用程序正在与一个陌生的IP通信，或者某用户没有通过VPN连接到企业网络上的另一台设备。

cSensor还提供了额外的遥测功能，为Darktrace的其他产品提供了更多的上下文信息，帮助Antigena在更新网络流量的自学习语料库时，实时发现问题。

例如，当收到一封请求银行交易的邮件时，基于cSensor提供的上下文信息，Antigena的电子邮件产品能够识别这是否是一封来自陌生域名的发件，该域名是否是可疑的，以及是否要发出报警或做出阻拦。这一切都是在辅助训练Antigena的自主响应能力。

监视断开连接的设备

cSensor为机构网络上运行的Darktrace实例建立了一个安全通道，当设备与网络断开连接时，可立即向后台发出警报，并依据安全管理平台（这里是指Darktrace的Enterprise Immune System）的情报采取相应行动。

对于不具备7*24小时监控服务，但同时又有内部监管要求的组织来说，这是一个很好的使用案例。cSensor能帮助Antigena检测设备上的员工行为是否安全，以它确保设备不会被滥用。

Antigena还能够通过网络流量来监控无cSensor的端点设备，如传感器、智能灯泡、联网摄像头，甚至是工业控制系统和OT设备。简而言之，可以监控任何连进网络的有IP地址的端点。

端点安全的未来

端点安全未来会发生很大的变化，尤其是随着人们逐渐适应居家办公模式，机构网络安全监管范围会扩大到家庭的网络设置。如，企业可能会要求将公司业务数据与家庭个人数据进行物理隔离。这很可能意味着员工要有两个彼此隔离的无线网络。

端点设备一直都是网络攻击最为常见的入口，云计算、万物互联和移动办公，更是令传统的网络边界防护手段失效。网络安全范式转换的时代已来临，在万物互联的数字世界，人工智能决定着未来攻防对抗的此消彼长。