回顧2017年的全球安全態(tài)勢，惡意軟件的演變是最重要的攻擊動態(tài)之一?；诰W(wǎng)絡(luò)的勒索軟件蠕蟲，毀滅性供應(yīng)鏈攻擊，偽裝成勒索軟件的破壞性擦除程序惡意軟件——惡意軟件類型和系列的數(shù)量與種類不斷增多，這大大削弱了防御者為掌控威脅而付出的努力，造成其長期處于混亂狀態(tài)。但是，防御者不應(yīng)陷入攻擊者日常沖突所帶來的混亂，以致無法注意到危機(jī)即將來臨時的明顯跡象。我們建議客戶要密切關(guān)注全球各大地區(qū)的安全形勢變化，與時俱進(jìn)，采用自動化水平更高的高級工具（如機(jī)器學(xué)習(xí)和人工智能），對威脅防御、檢測和補(bǔ)救進(jìn)行補(bǔ)充，不斷完善防御體系。 

       基于思科? 2018年度網(wǎng)絡(luò)安全報告（ACR）對于過去12-18個月內(nèi)全球威脅情報和網(wǎng)絡(luò)安全趨勢的豐富研究成果，我想與大家分享以下三點(diǎn)重要的觀察，以說明人工智能和機(jī)器學(xué)習(xí)技術(shù)對于當(dāng)今威脅防御的重要性：

1.    攻擊者將惡意軟件的復(fù)雜性和影響力提升到前所未有的程度各類惡意軟件和惡意軟件家族規(guī)模和種類不斷增長，眾多攻擊者越來越善于隱藏其惡意攻擊活動。正如思科研究人員所預(yù)測的那樣，攻擊者在2017年將惡意軟件提升到了新的水平?；诰W(wǎng)絡(luò)的勒索軟件蠕蟲在發(fā)起勒索軟件活動時不再需要人為參與。更糟糕的是還有像Nyetya這種偽裝成勒索軟件的擦除程序惡意軟件，它們專門設(shè)計用來刪除系統(tǒng)和數(shù)據(jù)。Nyetya攻擊活動也是供應(yīng)鏈攻擊，這是我們的研究人員在2017年觀察到的眾多攻擊形式之一。供應(yīng)鏈攻擊可以迅速影響計算機(jī)，規(guī)模大且速度快，并且會持續(xù)數(shù)月甚至數(shù)年。

2.    不斷增長的加密惡意網(wǎng)絡(luò)流量成為防御者絕不可忽視的盲點(diǎn) 思科? 2018年度網(wǎng)絡(luò)安全報告（ACR）指出，截止2017年10月，加密流量在全球網(wǎng)絡(luò)流量中所占的比例已達(dá)到50%，相較于2016年11月，加密網(wǎng)絡(luò)流量增長了12個百分點(diǎn)。隨著這一數(shù)量的增長，攻擊者似乎正在更多地使用加密技術(shù)，作為隱藏其命令與控制活動的工具。我們的研究人員發(fā)現(xiàn)，在12個月內(nèi)，檢測到的惡意軟件樣本所使用的加密網(wǎng)絡(luò)通信增加了三倍；截至2017年10月，在我們分析的40多萬個惡意二進(jìn)制文件中，大約有70%至少使用過某種加密。盡管加密技術(shù)有益于提高安全性，但攻擊者采用加密來隱藏命令并控制活動，使得加密流量為惡意軟件的傳輸和控制提供了可乘之機(jī)。作為勒索軟件攻破網(wǎng)絡(luò)抵御的重要入口，加密流量體量的大量增加，讓防護(hù)者很難識別、監(jiān)控出潛在的安全威脅。

3.    防御者對自動化和人工智能的依賴程度提升鑒于惡意軟件將通信隱藏在加密網(wǎng)絡(luò)流量之內(nèi)，以及網(wǎng)絡(luò)內(nèi)部的惡意人員利用企業(yè)云系統(tǒng)發(fā)送敏感數(shù)據(jù)，安全團(tuán)隊需采用有效的工具來防止或檢測使用加密技術(shù)隱藏的惡意攻擊活動。鑒于此，越來越多的企業(yè)探索使用機(jī)器學(xué)習(xí)和人工智能。這些高級功能可以學(xué)習(xí)在大量加密網(wǎng)絡(luò)流量中識別異常模式，并在需要時自動提醒安全團(tuán)隊進(jìn)行深入調(diào)查。

      首席信息安全官 （CISO）接受了思科2018安全能力基準(zhǔn)研究采訪，在報告中表示，他們迫切需要增加可使用人工智能和機(jī)器學(xué)習(xí)的工具，并認(rèn)為他們的安全基礎(chǔ)設(shè)施越來越復(fù)雜化和智能化。但此類系統(tǒng)生成的大量誤報也讓他們感到沮喪，因?yàn)檎`報增加了安全團(tuán)隊的工作量。隨著機(jī)器學(xué)習(xí)和人工智能技術(shù)的成熟，并了解到他們所監(jiān)視的網(wǎng)絡(luò)環(huán)境中哪些是“正常”活動，這些擔(dān)憂逐漸減少。

緊扣三大威脅態(tài)勢 思科安全應(yīng)對之道 —— AI革新集成防御

       面對日益升級的勒索軟件威脅，不斷增長的加密流量規(guī)模，思科將機(jī)器學(xué)習(xí)、人工智能應(yīng)用到安全領(lǐng)域，打造深度學(xué)習(xí)感知、智能協(xié)作的創(chuàng)新安全架構(gòu)，最終為客戶提供有效的安全。

       值得關(guān)注的是，思科Stealthwatch加密流量分析技術(shù)可以在無需對加密流量進(jìn)行解密的情況，運(yùn)用網(wǎng)絡(luò)感知分析方法，識別隱藏在加密流量中的惡意軟件。該系統(tǒng)針對加密流量內(nèi)部的元數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)算法分析，準(zhǔn)確定位加密流量中的惡意模式，實(shí)現(xiàn)更快更精確的判斷，幫助企業(yè)快速確定可能受到感染的設(shè)備和用戶，最終提升企業(yè)面對安全事件時的響應(yīng)速度和水平，準(zhǔn)確率超過99.99%。憑借加密流量分析技術(shù)，思科已經(jīng)成功解決了安全行業(yè)所面臨的最艱巨的挑戰(zhàn)，使安全團(tuán)隊能夠兼顧安全與隱私，并且顯著降低成本。目前，Stealthwatch已經(jīng)在全球眾多客戶端實(shí)施，成功地幫助企業(yè)提升高級安全威脅檢測和調(diào)查能力，豐富安全合規(guī)檢查的技術(shù)手段，加強(qiáng)網(wǎng)絡(luò)和應(yīng)用的性能可視化分析監(jiān)控，全面提高可視化能力和事件響應(yīng)能力。

       思科深知，只有將機(jī)器學(xué)習(xí)和人工智能應(yīng)用到安全防御之中，才能不僅通過已知的威脅來尋找同類威脅，更能通過已知的威脅去發(fā)現(xiàn)未知的威脅，甚至通過分析未知的威脅數(shù)據(jù)來尋找未知的威脅。另一個值得分享的應(yīng)用是利用機(jī)器學(xué)習(xí)技術(shù)檢測可能存在的內(nèi)部威脅——思科威脅研究人員對于34個國家的15萬用戶呈現(xiàn)的數(shù)據(jù)泄露趨勢進(jìn)行了研究，其所采用的算法不僅記錄了用戶下載文件的容量，也充分考慮了其他變量，如：下載的具體時間，IP地址，地點(diǎn)。在1.5個月中，這個由機(jī)器學(xué)習(xí)技術(shù)驅(qū)動的算法對于每個用戶的異常行為進(jìn)行了研究，標(biāo)記的可疑下載用戶占0.5個百分點(diǎn)。這個數(shù)目雖然不大，但這些用戶在1個半月內(nèi)總共從企業(yè)云系統(tǒng)上下載超過390萬份文檔，平均每位用戶下載5200份文檔。其中，62%的可疑下載發(fā)生在正常工作時間之外，40%發(fā)生在周末。機(jī)器學(xué)習(xí)算法有希望對云和用戶行為提供更高的可視性。如果防御者能夠在下載方面預(yù)測用戶行為，則可節(jié)省花在調(diào)查合法行為上的時間，還可以介入阻止?jié)撛诠艋虬l(fā)生數(shù)據(jù)泄露事件。

       作為網(wǎng)絡(luò)和安全領(lǐng)域的行業(yè)領(lǐng)導(dǎo)者，思科擁有得天獨(dú)厚的優(yōu)勢，不斷為客戶推出更強(qiáng)大的端到端的可視性與安全性。

·思科擁有非常廣泛的覆蓋不同安全領(lǐng)域的產(chǎn)品和解決方案，這背后是強(qiáng)大的技術(shù)支撐；同時，思科利用多個最有效的單點(diǎn)產(chǎn)品，強(qiáng)力打造彼此間的聯(lián)防、互聯(lián)、協(xié)作，最終為用戶呈現(xiàn)的是集成式的防御架構(gòu)。

·思科不僅通過人工智能打造了業(yè)界獨(dú)一無二的加密流量分析技術(shù)，使得網(wǎng)絡(luò)變得更加強(qiáng)大；而且將人工智能和機(jī)器學(xué)習(xí)技術(shù)廣泛應(yīng)用到集成防御體系的革新之中，幫助防御者克服技能和資源上的差距，讓他們更有效地識別和應(yīng)對已知和新興的威脅。

       思科將全球領(lǐng)先的技術(shù)成果和實(shí)戰(zhàn)經(jīng)驗(yàn)引入中國市場，幫助中國客戶構(gòu)建簡單、開放、自動化且真正有效的安全防御體系，從而能夠安全地把握全數(shù)字化轉(zhuǎn)型所造就的新機(jī)遇。