Lucas+Mearian

編譯 楊勇

MobileIron已經(jīng)與基于機(jī)器學(xué)習(xí)的威脅檢測供應(yīng)商合作，將其技術(shù)應(yīng)用到EMM客戶端，這是移動領(lǐng)域的發(fā)展趨勢。

在這一日益增長的發(fā)展趨勢中，MobileIron今天宣布在其企業(yè)移動管理（EMM）客戶端增加了基于機(jī)器學(xué)習(xí)的威脅檢測軟件，將幫助解決越來越多的移動攻擊問題。

這家位于加州山景城的公司宣稱，已經(jīng)與機(jī)器學(xué)習(xí)行為分析和威脅檢測軟件開發(fā)商Zimperium展開了合作，Zimperium的軟件主要用于監(jiān)測移動設(shè)備上的非法活動和應(yīng)用程序。

MobileIron說，會把Zimperium的z9引擎軟件整合到其安全和合規(guī)客戶端上。該軟件將駐留在用戶的iOS或者Android智能手機(jī)和平板電腦中，也將成為IT管理員EMM控制臺的一部分。MobileIron說：“升級到MobileIron的EMM客戶端將自動進(jìn)行檢測和響應(yīng)移動威脅的過程。”

其他EMM廠商也在關(guān)注機(jī)器學(xué)習(xí)領(lǐng)域，建立合作伙伴關(guān)系，例如黑莓和Zimperium，以及戴爾和Cylance等PC廠商。但據(jù)研究公司J.Gold Associates首席分析師Jack Gold的說法，還不完全清楚通過機(jī)器學(xué)習(xí)算法進(jìn)行移動威脅檢測（MTD）有多有效，只有相對較少的公司部署了這項(xiàng)技術(shù)。

CCS Insight公司研究副總裁Nicholas McQuire說，目前圍繞機(jī)器學(xué)習(xí)和人工智能究竟能干什么有太多的營銷炒作，但該技術(shù)對于抵御惡意軟件會非常有幫助。

McQuire說，過去兩年中，移動攻擊次數(shù)已經(jīng)翻了一倍，導(dǎo)致IT部門越來越關(guān)注移動安全，特別是MTD。據(jù)CCS的2017年工作場所技術(shù)調(diào)查，今年，超過35%的IT決策者把設(shè)備安全、惡意軟件和威脅保護(hù)列為企業(yè)移動和安全領(lǐng)域的首要投資事項(xiàng)。這項(xiàng)調(diào)查是在8月份進(jìn)行的，但還沒有公布詳細(xì)結(jié)果。

McQuire說：“在我們看來，EMM和MTD相集成是解決客戶目前需求的關(guān)鍵所在，也是領(lǐng)先技術(shù)供應(yīng)商未來的一個(gè)重要?jiǎng)?chuàng)新領(lǐng)域。這將成為EMM行業(yè)的核心。絕對是這樣的。”

然而，McQuire補(bǔ)充道，現(xiàn)在還很難說機(jī)器學(xué)習(xí)能夠有效地檢測到潛在的移動威脅，因?yàn)樗匀皇且环N新興技術(shù)。

各種各樣的EMM威脅檢測方法

據(jù)Gartner，移動威脅檢測和防御工具混合使用了漏洞管理、異常檢測、行為分析、入侵防御和傳輸安全等技術(shù)來保護(hù)移動設(shè)備和應(yīng)用程序免受高級威脅的攻擊。據(jù)研究公司，MTD產(chǎn)品應(yīng)提供四個(gè)層次的保護(hù)：

● 通過跟蹤預(yù)期和可接受的使用模式，檢測設(shè)備異常的行為。

● 通過檢查設(shè)備是否存在可能導(dǎo)致執(zhí)行惡意軟件的配置弱點(diǎn)，對漏洞進(jìn)行評估。

● 監(jiān)視網(wǎng)絡(luò)流量，禁用與移動設(shè)備可疑的連接。

● 識別惡意應(yīng)用和應(yīng)用程序——它們可能通過信譽(yù)掃描和代碼分析使企業(yè)數(shù)據(jù)處于風(fēng)險(xiǎn)之中。

除了Zimperium，LookOut、Skycure（現(xiàn)在已屬賽門鐵克）和Wandera也都是移動威脅檢測和防御市場的領(lǐng)先者，每一家都使用自己的機(jī)器學(xué)習(xí)算法來檢測潛在的威脅。

例如，Wandera，剛剛公布了威脅檢測引擎MI：RIAM。

據(jù)IT咨詢機(jī)構(gòu)Frost & Sullivan研究總監(jiān)Jeanine Sterling，在剛剛過去的五月份，MI：RIAM使用了一系列的機(jī)器學(xué)習(xí)技術(shù)，據(jù)說發(fā)現(xiàn)400多個(gè)偽裝的Slocker勒索軟件，其目標(biāo)就是企業(yè)的移動設(shè)備。

Sterling在與《計(jì)算機(jī)世界》的電子郵件中提到，“大部分人都認(rèn)為，這種特殊的變種已經(jīng)消失了，但MI：RIAM的確完成了機(jī)器學(xué)習(xí)解決方案的任務(wù)：它提取了數(shù)百萬個(gè)歷史數(shù)據(jù)點(diǎn)，從中發(fā)現(xiàn)了公認(rèn)的SLocker的數(shù)字DNA。如果沒有機(jī)器學(xué)習(xí)，絕不會有這樣的發(fā)現(xiàn)?！?/p>

谷歌和微軟進(jìn)入威脅檢測市場

微軟也在其Windows 10平臺上部署了基于機(jī)器學(xué)習(xí)的威脅檢測技術(shù)，還通過其Intune云服務(wù)采用了EMM功能。微軟最新的操作系統(tǒng)采用Windows Defender高級威脅防護(hù)功能，這一基于云的人工智能技術(shù)建立在微軟智能安全圖（ISG）之上，據(jù)微軟說，能夠識別新的威脅，包括勒索軟件。

谷歌也推出了機(jī)器學(xué)習(xí)算法，被稱為“對等群組分析（Peer Group Analysis）”，用于發(fā)現(xiàn)谷歌Play商店中收集或者發(fā)送敏感數(shù)據(jù)卻沒有明確需求的有害的移動應(yīng)用程序，使用戶能夠更方便的找到功能合適并尊重他們隱私權(quán)的應(yīng)用程序。

谷歌最近在其開發(fā)者博客中說道，“例如，大部分圖畫書應(yīng)用程序不需要知道用戶精確位置的功能，通過分析其他圖畫書應(yīng)用程序就會知道這一點(diǎn)?！?/p>

McQuire說，Zimperium的機(jī)器學(xué)習(xí)技術(shù)已經(jīng)不限于移動設(shè)備，幾個(gè)移動銀行應(yīng)用程序也將其打上了“白標(biāo)”。他說：“目前，企業(yè)對該技術(shù)非常感興趣，但也存在一些問題?！?/p>

使MTD遲遲不能使用的一個(gè)問題是企業(yè)不愿意拋開自己的EMM供應(yīng)商，從別人那里購買產(chǎn)品，還有就是用戶對于在自己的智能手機(jī)和平板電腦上安裝軟件非常謹(jǐn)慎。McQuire說，因此，到目前為止，MTD軟件并沒有被廣泛部署。

最初對威脅檢測積極的反饋

Zimperium產(chǎn)品與云競爭對手的不同之處體現(xiàn)在其駐留在移動設(shè)備中的z9引擎軟件上，它不僅注意惡意軟件，而且還有網(wǎng)絡(luò)和Wi-Fi熱點(diǎn)潛在的威脅和用戶行為。據(jù)McQuire，它也注意設(shè)備的基本健康狀況，因此，如果惡意軟件攻擊使得設(shè)備被“越獄”，它也能夠?qū)崟r(shí)修復(fù)攻擊造成的結(jié)果。McQuire說，采用了基于云的威脅檢測技術(shù)后，當(dāng)軟件被攻擊，然后做出反應(yīng)，這期間會有延時(shí)。

McQuire說，Zimperium的z9引擎監(jiān)測用戶的行為，阻止惡意軟件被下載到設(shè)備上，并檢查從谷歌Play和蘋果App Store下載的應(yīng)用程序的健康狀況。McQuire說：“這一機(jī)器學(xué)習(xí)的部分功能是它可以開始學(xué)習(xí)行為，查看設(shè)備是否已經(jīng)不合規(guī)，或者被惡意軟件攻破了，在一定程度上自動做出響應(yīng)。”endprint

據(jù)Frost & Sullivan的Sterling，對于機(jī)器學(xué)習(xí)以及通過它所實(shí)現(xiàn)的預(yù)測分析，企業(yè)移動領(lǐng)域?qū)ζ鋫涫荜P(guān)注。

Sterling說：“我們看到，移動工作人員的應(yīng)用程序中越來越多地采用了這種功能，極有可能將其添加到移動管理解決方案中；特別是隨著EMM演進(jìn)成UEM（統(tǒng)一終端管理），它還能夠承擔(dān)管理和保護(hù)部分物聯(lián)網(wǎng)設(shè)備的職責(zé)?！?/p>

據(jù)Sterling，MTD技術(shù)用戶最初的反饋是積極的，但仍處于早期階段，這項(xiàng)技術(shù)才剛剛開始“沿著學(xué)習(xí)曲線前進(jìn)”。

最終會在移動設(shè)備上應(yīng)用機(jī)器學(xué)習(xí)嗎？

Sterling說：“顯然，越來越多的網(wǎng)絡(luò)攻擊和惡意軟件事件讓所有人都感到緊張不安，尋找方法來對付這類威脅?；跈C(jī)器學(xué)習(xí)的威脅檢測軟件承諾能夠快速、實(shí)時(shí)地識別威脅，然后快速、自動地進(jìn)行補(bǔ)救。不利的一面是誤報(bào)，可能會有很多誤報(bào)，導(dǎo)致適得其反?！?/p>

MTD的另一個(gè)問題是，安裝在移動設(shè)備上后，隨著它收集越來越多的數(shù)據(jù)用于分析，會影響智能手機(jī)和平板電腦的性能。

Zimperium首席產(chǎn)品官John Michelsen說，z9軟件檢測惡意軟件的有效性高達(dá)99%，它是“離線”工作的。在設(shè)備上使用結(jié)果威脅“分類器”或者算法，以檢測威脅。

Michelsen說：“解決方案只讀取屬性，而不進(jìn)行寫操作，因此，它不會改變設(shè)備上的任何東西，隨著時(shí)間的推移也不會影響性能”，他還補(bǔ)充說，消除惡意應(yīng)用程序?qū)嶋H上有助于增強(qiáng)設(shè)備性能。

據(jù)Gold，MTD解決方案仍然是各種技術(shù)的混合，而一家公司使用很多移動設(shè)備會大大增加被泄漏的風(fēng)險(xiǎn)，所以使用這種技術(shù)“肯定比什么都沒有要好”。Gold說：“大部分移動威脅都是通過不好的應(yīng)用程序進(jìn)行攻擊的，這些產(chǎn)品未必見得能捕捉到所有這些惡意軟件攻擊?！?/p>

Gold說，Zimperium的z9引擎基本上是通過嘗試?yán)斫鈶?yīng)用程序應(yīng)該做什么，用戶怎樣交互，設(shè)備上的哪些功能應(yīng)該被激活，來檢測不好的應(yīng)用程序。

Gold說：“這要比我們多年來在PC上一直使用的簽名匹配等技術(shù)好得多。但是很難確定產(chǎn)品能否成功地檢測到所有威脅。Android的攻擊途徑與iOS的不同，所以，如果您想成功地開發(fā)一款針對手機(jī)的威脅防御產(chǎn)品，您必須具備這兩方面的專長（除非您決定只采用一種平臺）。iOS更難開發(fā)，因?yàn)樘O果提供了很少的操作系統(tǒng)接口用于監(jiān)視和連接?！?/p>

Lucas Mearian——高級記者，其工作涉及企業(yè)移動問題，包括移動管理、安全、硬件和應(yīng)用程序，以及企業(yè)協(xié)作技術(shù)等。

原文網(wǎng)址：

http：//www.computerworld.com/article/3230126/mobile-wireless/machine-learning-based-threat-detection-is-coming-to-your-smartphone.htmlendprint