郭濤

我們已經(jīng)習(xí)慣了“互聯(lián)網(wǎng)+”“云計(jì)算+”這樣的說(shuō)法，如今看來(lái)，AI的落地和普及也離不開(kāi)“AI+”。筆者的理解，“AI+”在這里應(yīng)至少包含兩層意思：第一，AI技術(shù)的開(kāi)發(fā)與應(yīng)用一定要與具體的應(yīng)用場(chǎng)景相結(jié)合，這樣才能做到有的放矢，這里“+”具體是指“+應(yīng)用”；第二，AI技術(shù)本身也在不斷演進(jìn)之中，創(chuàng)新的思路和技術(shù)使AI本身變得更加強(qiáng)大，也能更好地服務(wù)客戶和市場(chǎng)，“+”在這里是指AI自身的精進(jìn)和提升。

如今，AI在許多行業(yè)，比如金融、醫(yī)療、汽車等有了很多創(chuàng)新的應(yīng)用，同時(shí)AI又在智能客服、自動(dòng)運(yùn)維、金融風(fēng)險(xiǎn)分析等具體的應(yīng)用場(chǎng)景中大顯身手，這些都是最典型的“AI+”的例子。在安全領(lǐng)域，“AI+”的趨勢(shì)也越來(lái)越明顯。

網(wǎng)絡(luò)和端點(diǎn)安全廠商Sophos就推出了最新的Intercept X安全解決方案，以先進(jìn)的深度學(xué)習(xí)技術(shù)提供預(yù)測(cè)性防護(hù)功能。這是“AI+安全”的又一個(gè)例證。Sophos中國(guó)區(qū)總經(jīng)理鐘明輝介紹說(shuō)，最新版本的Intercept X下一代端點(diǎn)保護(hù)方案結(jié)合了新的主動(dòng)黑客攻擊緩減、先進(jìn)的應(yīng)用程序鎖定，以及增強(qiáng)型勒索軟件防護(hù)等功能，實(shí)現(xiàn)了前所未有的檢測(cè)和預(yù)防能力。AI并不是萬(wàn)能的，但是在數(shù)據(jù)安全領(lǐng)域，它在對(duì)未知安全威脅的探知和防御方面確有獨(dú)到之處，效果也是顯而易見(jiàn)的。

預(yù)見(jiàn)性安全完美演繹“AI+安全”

伴隨著AI的出現(xiàn)和應(yīng)用，在很多細(xì)分領(lǐng)域誕生了大量新的概念，比如應(yīng)用感知的存儲(chǔ)、自動(dòng)駕駛的網(wǎng)絡(luò)等。現(xiàn)在隨著Intercept X的推出，Sophos提出了“預(yù)見(jiàn)性安全”這個(gè)新概念。

所謂預(yù)見(jiàn)性，是指通過(guò)事實(shí)或經(jīng)驗(yàn)進(jìn)行推論，或者通過(guò)精確的計(jì)算、豐富的知識(shí)進(jìn)行預(yù)測(cè)。預(yù)見(jiàn)性安全包含三重意思：第一，它借助AI技術(shù)實(shí)現(xiàn)了更好的安全保護(hù)；第二，它具有更好的性能；第三，它具有更高的精確度。又快又好，這大概就是預(yù)見(jiàn)性安全所努力追求的境界。就像武林高手通常擁有一兩項(xiàng)絕技一樣，AI對(duì)于安全來(lái)說(shuō)就是一項(xiàng)具有絕對(duì)“殺傷力”的新技能。

無(wú)論是云計(jì)算，還是物聯(lián)網(wǎng)，安全問(wèn)題都是首先要解決的問(wèn)題，不然一切新技術(shù)的應(yīng)用都將是空談。隨著網(wǎng)絡(luò)的無(wú)限擴(kuò)展，隨時(shí)隨地訪問(wèn)需求的出現(xiàn)，安全問(wèn)題也變得無(wú)處不在。安全保護(hù)并不是保護(hù)某一個(gè)點(diǎn)的安全，而是全面的無(wú)死角的防護(hù)。安全是一個(gè)復(fù)雜的系統(tǒng)，它既要保留那些基本的保護(hù)功能，比如文件掃描、程序掃描、內(nèi)存掃描等，又要根據(jù)技術(shù)和安全形勢(shì)的變化，更好地規(guī)避那些新的安全風(fēng)險(xiǎn)和威脅，比如勒索軟件、偽裝、零日攻擊等。對(duì)于從事安全防護(hù)工作的人來(lái)說(shuō)，預(yù)測(cè)和防御未知的威脅是最棘手的事，因?yàn)槊鎸?duì)未知你會(huì)感到無(wú)從下手。在這種情況下，AI的出現(xiàn)給我們提供了一個(gè)有效的工具或者說(shuō)手段，讓我們可以通過(guò)對(duì)以往的數(shù)據(jù)、事件或者經(jīng)驗(yàn)的總結(jié)和分析預(yù)知安全風(fēng)險(xiǎn)，從而提前做好萬(wàn)全準(zhǔn)備。

在安全領(lǐng)域，機(jī)器學(xué)習(xí)技術(shù)的應(yīng)用并不是什么新鮮事。用于訓(xùn)練中的樣本和屬性越多，預(yù)測(cè)的結(jié)果就越準(zhǔn)確。但不幸的是，傳統(tǒng)的機(jī)器學(xué)習(xí)在這兩方面都有局限性，無(wú)法高效實(shí)施。鐘明輝舉例說(shuō)，基于機(jī)器學(xué)習(xí)技術(shù)，傳統(tǒng)的決策樹(shù)方式，雖然容易實(shí)現(xiàn)，但是準(zhǔn)確性相對(duì)較差；隨機(jī)森林（Random Forest）雖然可以提升準(zhǔn)確性，但是性能不高。在這里我們又不得不重申，又快又好才是安全的王道。

Sophos Intercept X采用了深度學(xué)習(xí)技術(shù)，實(shí)現(xiàn)了更高的檢測(cè)率和更低的誤報(bào)率。深度學(xué)習(xí)是機(jī)器學(xué)習(xí)的最新進(jìn)展，它提供了一個(gè)龐大的可擴(kuò)展檢測(cè)模型，能夠?qū)W習(xí)所有觀察到的威脅形式。與傳統(tǒng)的機(jī)器學(xué)習(xí)相比，深度學(xué)習(xí)憑借其處理數(shù)以億計(jì)樣本的能力，以更快的速度、更少的誤報(bào)率做出更準(zhǔn)確的預(yù)測(cè)。Sophos Intercept X之所以能夠略勝一籌，主要是因?yàn)樗捎玫纳疃葘W(xué)習(xí)神經(jīng)網(wǎng)絡(luò)讓系統(tǒng)可以通過(guò)經(jīng)驗(yàn)進(jìn)行學(xué)習(xí)，每一個(gè)相互連接的神經(jīng)層都可以識(shí)別更多復(fù)雜的特性，從而在觀察到的行為和惡意軟件之間建立關(guān)聯(lián)。這些關(guān)聯(lián)性分析提高了對(duì)現(xiàn)有的和零日惡意軟件檢測(cè)的精確性，從而降低了誤報(bào)率。

企業(yè)戰(zhàn)略集團(tuán)（ESG）高級(jí)認(rèn)證分析師Tony Palmer解釋說(shuō)：“傳統(tǒng)的機(jī)器學(xué)習(xí)模型依賴于專家威脅分析師來(lái)選擇用于訓(xùn)練模型的屬性，因而增加了主觀的人為因素。隨著添加的數(shù)據(jù)越來(lái)越多，模型也變得越來(lái)越復(fù)雜，成了繁瑣而緩慢的模型。這些模型的誤報(bào)率也很高，管理員不得不親自確定哪些是惡意軟件，哪些才是合法軟件，從而降低了IT的工作效率?！盓SG實(shí)驗(yàn)室的分析表明，Sophos Intercept X采用的神經(jīng)網(wǎng)絡(luò)模型很容易擴(kuò)展，并且它得到的數(shù)據(jù)越多，模型就會(huì)變得越智能。這樣就可以主動(dòng)進(jìn)行檢測(cè)，而且不會(huì)影響管理或者系統(tǒng)的性能，做到了又快又好。

鐘明輝特別提到，傳統(tǒng)的安全產(chǎn)品都需要一個(gè)簽名庫(kù)，將收集到的信息與這個(gè)簽名庫(kù)進(jìn)行比對(duì)，才能判別哪些是惡意軟件，哪些是安全合法的訪問(wèn)。簽名庫(kù)本身會(huì)占據(jù)一定空間，在邊緣計(jì)算、物聯(lián)網(wǎng)越來(lái)越盛行的今天，這種基于簽名庫(kù)的安全產(chǎn)品不太可能用于各種小型的物聯(lián)網(wǎng)終端設(shè)備之上，那么對(duì)這些終端的安全保護(hù)也就無(wú)從談起了。另外，基于簽名庫(kù)進(jìn)行比對(duì)總要耗費(fèi)一定時(shí)間，它會(huì)影響整個(gè)系統(tǒng)的性能。而以Sophos Intercept X為代表的預(yù)見(jiàn)性安全產(chǎn)品，完全拋棄了簽名庫(kù)，不僅以上基于簽名庫(kù)方式的安全產(chǎn)品的弊端一掃而光，而且產(chǎn)品本身變得更加輕量化和高效，應(yīng)用的場(chǎng)景也得到了極大擴(kuò)展。

上述分析說(shuō)明了，為什么融合了AI技術(shù)的下一代安全解決方案可以解決傳統(tǒng)安全不能解決的問(wèn)題。“AI+安全”確實(shí)可以讓安全防御變得又快又好。

Sophos向前邁出了一大步

鐘明輝表示，預(yù)見(jiàn)性安全是IT安全的未來(lái)。將深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)引入業(yè)界領(lǐng)先的漏洞利用和勒索軟件保護(hù)產(chǎn)品Intercept X，是Sophos向前邁出的一大步。對(duì)未知攻擊進(jìn)行主動(dòng)防御，而不是等待攻擊的到來(lái)，這將改變每一家企業(yè)保護(hù)其用戶和資產(chǎn)的IT運(yùn)營(yíng)方式。

其實(shí)Intercept X于2016年9月便首次推出，已經(jīng)在全球數(shù)以萬(wàn)計(jì)的企業(yè)中被采用。最新版本的Intercept X讓預(yù)見(jiàn)性安全這一概念切切實(shí)實(shí)落地。筆者理解，Intercept X中的這個(gè)“X”代表了無(wú)限的可能性和嘗試的精神，它是推動(dòng)產(chǎn)品自身不斷變革和演進(jìn)的基礎(chǔ)。

預(yù)見(jiàn)性安全有哪些典型的應(yīng)用場(chǎng)景呢？最新版本的Sophos Intercept X包括防勒索軟件和漏洞利用攻擊防護(hù)，以及主動(dòng)黑客攻擊緩減等創(chuàng)新技術(shù)，例如憑證盜竊保護(hù)功能。隨著反惡意軟件的進(jìn)步，攻擊逐漸集中于盜竊憑證，目的是以合法用戶身份在系統(tǒng)和網(wǎng)絡(luò)中行動(dòng)，而Intercept X可檢測(cè)并預(yù)防此類事件發(fā)生。通過(guò)基于云的管理平臺(tái)Sophos Central進(jìn)行部署，Intercept X能夠與任何廠商現(xiàn)有的端點(diǎn)安全軟件一同安裝，并即刻增加端點(diǎn)保護(hù)。當(dāng)與Sophos XG防火墻一起使用時(shí)，Intercept X引入的同步安全功能，可以進(jìn)一步增強(qiáng)保護(hù)能力。

對(duì)于Intercept X最新版本的推出，Sophos的合作伙伴有這樣的評(píng)價(jià)：“Intercept X能夠與任何廠商的端點(diǎn)保護(hù)方案一起安裝使用，意味著我們可以立即幫助那些有需求的用戶解決其安全問(wèn)題。Intercept X簡(jiǎn)單高效，有利于我們成為客戶信賴的合作伙伴。引入深度學(xué)習(xí)和其他增強(qiáng)功能也表明，Sophos正在引領(lǐng)安全市場(chǎng)的發(fā)展?！?/p>

Intercept X能夠引領(lǐng)預(yù)見(jiàn)性安全這一新的趨勢(shì)，與Sophos深厚的技術(shù)積淀密不可分。Intercept X的持續(xù)演進(jìn)就是Sophos擁有30年經(jīng)驗(yàn)的SophosLabs網(wǎng)絡(luò)威脅研究所的功勞。目前，Sophos在全球擁有1億用戶，其產(chǎn)品的續(xù)訂率超過(guò)90%。Sophos不僅是Gartner網(wǎng)絡(luò)與端點(diǎn)安全領(lǐng)域魔力第四象限的?？?，而且在領(lǐng)導(dǎo)者象限的位置非常靠前且穩(wěn)固。

酒香也怕巷子深，奉行“渠道第一”策略的Sophos從現(xiàn)在開(kāi)始將加大市場(chǎng)宣傳力度。Sophos要在預(yù)見(jiàn)性安全方面樹(shù)立自己的權(quán)威地位。