如何妙用AI 防范资安未知威胁变本加厉

尽管谈到资安，早在过去随个人计算机、互联网的普及，便已应运而生，绝不算是新议题，但展望今后的数码科技应用时代，多数IT人公认的最大挑战仍在于资安；为何随著时间演进、资安产品推陈出新，资安威胁却变本加厉？主要症结是，攻击活动的能见度愈来愈低。

奥义智能科技共同创办人丛培侃解释，新型态资安威胁，甚至已不带有任何实体病毒，而是循著正常管道、正常流程，轻松避开传统侦测机制，潜入受害企业内部、先抢占滩头堡，再利用操作系统内建功能，在不同计算机间横向移动，逐步探索并窃据机敏资料，然后把战利品予以打包，以加密方式上传至外部云端储存装置。

换言之，若像过去一样，仅侦测单一档案究竟属于恶意或善意，已难抵御新式威胁；欲厘清黑客行为，不能只看档案，应改变侦测模式，要看一连串的活动轨迹，才足以探测黑客的意图。例如一支正常的压缩程序，不会被各家防毒引擎判定为异常，但假使该程序并非处在应存在的目录，而是移动到其它位置，就意谓背后潜藏风险，可能已沦为黑客的档案打包工具；以往要想参透个中玄机，起码得花上至少两周的人工调查，确实缓不济急。

丛培侃认为，既然攻击者的手法套路已变，更擅于以合法掩护非法，懂得善用云端储存当作中继站，甚至发动无档案型态、或系统指令型态的攻击活动，企业就不宜拘泥在过往侦测思维，必须用AI机器学习技术来提升能见度，破解黑客的非法意图。

藉势态感知技术，迅速判断威胁势态

因此奥义自2017年成立以来，不断提倡「势态感知」(SituaTIon Awareness)技术理念，只因面对顽强的威胁，企业的姿态很重要，若仅想着如何把恶意程序100%挡在门外，未免不切实际，理应设想自己一定被攻击，然后针对潜在危机做迅速的调查、侦测与应变；当发生可疑事件时，企业固然可依既有做法，动员专业人力对大量资安设备日志进行关联分析与判读，但必须耗费可观人力工时，不如藉助AI-Bot取代专业人力，帮助企业快速提升能量，将未知威胁转为已知的所需成本降至最低，进而从容因应GDPR等法规所限定的通报与应变时效。

所谓势态感知，象是飞行者利用驾驶舱内仪表板，感知外部环境变化，做为飞行决策依据；同样的，企业亦需感知外部的攻击活动与内部的弱点。至于奥义实践此事的方式，系于端点装设传感器，定时扫描与采集Event Log、Process Data与执行档案的讯息摘要，接著将大量端点信息抛送到后端调查平台(由奥义或MSSP资安代管服务商负责维运)，再由后台系统以增强式学习技术进行「报酬模型」分析，推算每台端点的报酬率，从而串联一群高报酬率的端点，前后连结成为黑客的活动轨迹(意指黑客眼中最具报酬率的攻击路径)，藉此补强过去人为判断的盲点，让案情水落石出。

虽然奥义推出AI自动化分析平台的时程不算久，但已在市场引发莫大回响，不仅吸引多家SOC业者成为平台推广的伙伴，也获得富邦产险青睐，与奥义合作推出新一代资安险，由奥义协助有意投保的企业做资安健诊，俾使企业据此改善资安架构，富邦才进行核保，对企业而言，保费负担较为低廉合理，假使日后遭骇，则可由富邦理赔损失，并透过奥义协助执行搜证及应变。