自從進階持續威脅(APT)橫行,有不少專家提出防毒軟體無用論,認為著重在特徵碼比對的防毒產品成效不彰,於是,在企業資安市場上,出現多種主打「事中察覺」與「事後清理、阻斷、復原」解決方案,例如,進階威脅防護系統(ATP)、使用者行為分析系統(UBA)/使用者與實體行為分析系統(UEBA),以及針對威脅進行偵測與應變的端點防護方案(EDR)、網路防護方案(NDR)、橫跨多種防護的方案(XDR)。
僅有少數廠商仍然持續強調事前預防仍大有可為,因為建立「預想被駭(Assumed Breach)」的思維固然重要,但資安預防不能因此偏廢,目前有哪些廠商積極向市場推廣這項主張?老牌資安公司Check Point正是其中一家,他們長期宣傳「預防優先(Prevention-First)策略的必要,近年來,我們看到還有另一家同樣出身以色列的資安新創公司Deep Instinct,他們也強調預防優先,宣揚資安預防是可行的,表明旗下產品提供即時預防已知與未知惡意威脅,以及詮釋這些危機的能力,海威資訊已將這個品牌引進臺灣。
實施快速、精準資安預防,去年擴增與整合AI資安解釋引擎
關於資安解決方案的成效,Deep Instinct表示,他們運用專屬的深度學習資安框架,能夠在20毫秒內精準阻止惡意軟體的侵入,相較於目前加密資料動作最快的勒索軟體,資安預防速度可達到750倍,可及早攔阻多種元件的部署,像是負責植入或遞送惡意軟體酬載的木馬(Dropper)、維持惡意軟體存在與運作的組件(Artifact)、繞過正常身分驗程序而非法存取系統的後門程式(backdoor)等。
2022年下半之後,Deep Instinct也經常引用另一家資安公司Unit 221B的產品評估報告,標榜自家產品的準確率號稱超過99%(99.78%),誤判率低於0.1%。
到了2024年5月,Deep Instinct發表首款基於生成式AI技術而成的資安助手DIANNA,全名為Deep Instinct’s Artificial Neural Network Assistant,提供解釋未知資安威脅的能力,可透過專家級的惡意軟體分析機制,強化既有的資安解決方案。
基本上,這當中運用大型語言模型的技術,形成虛擬的AI惡意軟體分析團隊,以及事故應變專家群,能夠產生所有攻擊行為的深層分析完整敘述,揭露敵方使用的伎倆與檔案的行為,可促使資安團隊理解網路威脅的運作方式,並在資料外洩之前得以進行緩解作業。
Deep Instinct認為,配備DIANNA之後,可結合大量資安專家的集體知識、將這些資訊嵌入大型語言模型,針對未知的指令碼、文件、原始的雙位元檔案、捷徑檔,以及其他可用來傳遞網路威脅的檔案,提供深層的惡意軟體洞察分析能力,並且經由靜態分析的方式,相當精確地找出裡面是否存在已知或未知的為非作歹意圖,並以清楚、容易理解的形式產生報告內容。DIANNA能夠解譯採用多種程式語言寫成的雙位元程式碼與指令碼,分析內容之餘,也理解當中的意圖與潛藏的動作,並解讀程式碼設計的目的,藉此判斷是否有惡意,以及如何衝擊系統的正常運作,最終整理成為以自然語言表達的分析報告。
同時,DIANNA不只是列出分類結果,還能使資安團隊在充分知情的狀態下,制定正確的決策、有效率地排定網路威脅處理的優先順序,自動執行許多單調的分析任務,分攤資安團隊的人力負擔,提升資安維運中心(SOC)的績效,而且,因為能藉此降低誤判浪費的時間,企業與組織對於網路威脅事故的平均修復時間(MTTR)也隨之減少,進而改善資安服務與工作的滿意度。
相較於傳統採用機器學習的AI工具,Deep Instinct也點出目前的技術瓶頸,突顯自家產品優勢。例如,通常針對既有的事件記錄與網路信譽引擎,進行類似人工操作的資料摘要處理,此種作法先天上無法因應未知攻擊、提供判定當中具有惡意的洞察分析,而且只能根據有限的前後文脈絡產生回溯分析。
對比市面上其他的資安AI對話機器人應用,在原本需仰賴深層網路威脅專業知識的惡意軟體分析工作上,Deep Instinct強調DIANNA這套威脅解釋引擎可大幅壓縮作業時間,幾秒鐘就能產生全方位的資安威脅態勢解讀報告,而且有能力分析未知資安威脅,判斷指令碼、文件、雙位元檔案是否具有惡意。
採用專屬深度學習資安框架,一套技術通吃四大IT環境的資安預防
在2024年11月之後,Deep Instinct將旗下的多種資安解決方案,從原本掛上的品牌Prevention換成Data Security X(DSX),簡而言之,目前可涵蓋端點、應用程式、NAS,以及雲端服務這四大環境。
舉例來說,發展時間最久、也是代理商海威資訊主打的資安解決方案,是端點防護平臺(EPP)類型的產品,先前稱為Deep Instinct for Endpoint或Deep Instinct Prevention for Endpoint(DPE),原廠網站現在統一稱為DSX for Endpoint,但上述名稱還是會使用。
關於專攻應用程式防護的產品,是2022年8月推出的Deep Instinct Prevention for Applications(DPA),現稱為Deep Instinct DSX for Applications,該公司區分為DSX for Applications – Middleware、DSX for Applications – Secure File Transfer。
針對儲存系統提供防護的產品,是2023年10月推出Deep Instinct Prevention for Storage(DPS),原本涵蓋DPS for Network Attached Storage,以及DPS for Cloud Storage,前者現稱為Deep Instinct DSX for NAS,細分為DSX for NAS – Dell EMC,以及Deep Instinct DSX for NAS – NetApp。
至於為雲端服務提供防護的產品,是2024年11月推出Deep Instinct DSX for Cloud,該公司目前提供DSX for Cloud – Amazon S3,以及DSX for Cloud – Amazon FSx NetApp。
無論保護何種環境,Deep Instinct DSX都有共通的架構,是由不同角色組成,包含:部署於端點電腦的個人端程式(D-Client)或設置在儲存設備、雲端服務的代理程式、掃描器,管理伺服器/管理主控臺(D-Appliance)、深度學習網路實驗室與類神經網路(DSX Brain),以及信譽查詢服務(D-Cloud)。
值得注意的是,Deep Instinct的解決方案不僅能用於企業與組織,也支援多租戶架構的服務供應模式,因此,也能用於合作廠商、代管服務業者(MSP),以及資安服務代管業者(MSSP),這些公司可以透過單一、集中的主控臺,管理多個環境,確保所有代管的資料安全與彼此隔離。
單就端點防護解決方案的配置架構而言,Deep Instinct提供輕量的個人端軟體D-Client,當中封裝該公司提供的AI預測模型,能藉此啟動裝置端的深層靜態分析、深層行為分析,以及其他防護引擎,並且與Deep Instinct管理伺服器溝通,個人端程式能從這裡接收政策與軟體更新,以及回傳發生在此處的事件記錄。
D-Client可安裝在多種作業系統的電腦、伺服器,以及行動裝置,廣泛支援6大平臺,囊括Windows、Linux、macOS、iOS與iPadOS、Android、ChromeOS,足以媲美當前一線大廠的EPP、EDR,甚至超越(不少廠商的產品尚未支援行動裝置作業系統)。
管理伺服器的部分,Deep Instinct表示,D-Appliance會設置在雲端服務,提供集中管理與監控機制,系統管理人員能透過圖表形式快速查看資安事件的狀態,也能在此設定企業資安政策。
而在核心防護技術的部分,源於該公司發展的深度學習網路,稱為Deep Instinct Neural Network,座落在他們設置的實驗室Deep Instinct labs,能持續學習與反映不斷進化的資安威脅態勢,並非仰賴手動進行特徵工程、擷取向量等作業方式進行,而且,隨著訓練資料集的規模逐漸成長,這個神經網路可以越來越聰明。
接著,Deep Instinct會將這個不斷執行深度學習的流程輸出為輕量的AI預測模型D-Brain,後續這套根據數億個檔案樣本訓練而成的模型,也會部署到所有列管的D-Client裝置。
基本上,若用於端點防護,D-Brain會安裝在D-Client軟體;若用於應用程式防護,D-Brain會安裝在容器化應用程式。在這樣的架構當中,AI預測模型可針對各種裝置,提供網路威脅自動偵測與與預防能力,實施零時差漏洞濫用與進階持續性威脅(APT)的防護。
提供持續的資安防護、抵禦未知資安威脅的漏洞濫用之餘,Deep Instinct強調,DSX Brain的更新每年僅需一到兩次,就能維持資安預防效率,即使是半年前發布的DSX Brain仍能阻擋已知、未知,以及濫用漏洞的資安威脅,無須頻繁執行更新模型的作業,相關的服務管理成本也能因此降低。
至於信譽查詢服務,這是個選用功能,可提供額外的防護能力。Deep Instinct藉此提供基於檔案而成的信譽判定引擎,本身是數十億個檔案組成的資料庫,是從多種資料來源收集而來,之後標定為不同的判斷與類別。他們表示,運用此處儲存的已知檔案資訊,能對檔案進行重新分類的作業程序,正確的判定結果也會即時更新。
提供多層次的防護架構
除了搭配AI深度學習訓練的AI模型,以及結合代理程式、管理伺服器的產品運作架構,Deep Instinct最終呈現在用戶面前的資安預防能力,也是涵蓋多種層次。
如同資安威脅的處理,可區分事前、事中、事後等三個階段,Deep Instinct提供的防護能力,也分為執行前(Pre-Execution)、執行中(On-Execution)、執行後(Post-Execution),他們提供靜態分析引擎、行為分析引擎與指令碼引擎、可疑活動引擎,各自抵禦三種當前最常面臨的資安威脅:透過檔案傳遞的攻擊活動(File-based Attacks)、無檔案類型的攻擊活動(Fileless Attacks)、可疑的攻擊活動。
而在這四大資安引擎當中,靜態分析引擎其實就是Deep Instinct發展的深度學習引擎,用於執行前的資安預防處理,包含靜態分析模組與啟發分析模組,能夠執行深層掃描的檔案類型至少有21種,涵蓋常見與各國專屬的文件(PDF、Office、RTF、JTD、HWP),巨集(Macro),壓縮與軟體封裝檔(JAR、APK),二進位執行檔(PE、ELF、Mach-O),捷徑檔(LNK),字型、圖形與多媒體檔(Fonts、TIFF、SWF),以及指令碼檔(JavsScript、VBScript、PowerShell、巨集、HTA、rundll32),可預防已知與未知惡意軟體,像是勒索軟體、零時差漏洞濫用攻擊,以及基於檔案與指令碼的攻擊行為。
另一條居中的防線,也就是執行中的資安預防機制,Deep Instinct提供動態與行為分析,包含兩種防護引擎,一是運用微軟防惡意軟體掃描介面(AMSI)的行為分析引擎,能夠偵測與自動因應可疑、惡意的指令碼,另一是在記憶體層級執行啟發式掃描的指令碼引擎,兩者並用之後,能夠預防多種網路威脅,像是勒索軟體、無檔案攻擊、間諜軟體(銀行木馬、鍵盤側錄器、惡意程式載入器Dropper)、遠端程式碼注入、已知與未知的殼層程式碼(shellcode)攻擊、帳密竊取、大量帳密擷取(Credential Dumping),以及繞過AMSI偵測的手法。
在此同時,Deep Instinct可針對每一種資安威脅,提供額外的前後文脈絡,以便了解嚴重性與攻擊者發動的戰術,因此能夠列出可疑事件,方便後續進行威脅獵捕的工作,以及提供MITRE ATT&CK框架的攻擊手法對應,並且產生信譽高低的分析。
至於執行後的預防,Deep Instinct提供選用的可疑活動引擎,能透過偵測規則的自動比對與分析來判斷網路威脅,能夠依據信譽分數或控管政策,以及用戶自行匯入的允許清單,推翻原本訂定的資安決策。
而且,在這個階段的作業過程裡面,所有資安預防事件可集中至Deep Instinct的管理主控臺,整合到資安資訊與事件管理系統(SIEM),以及資安調度指揮、自動處理與應變系統(SOAR)、端點偵測與應變系統(EDR),也能透過REST API、Syslog、SMTP與其他資安解決方案協同合作。
值得注意的是,Deep Instinct DSX系列目前主打的四大防護環境,對照前幾年他們提出的Deep Instinct Prevention Platform,其實對應到的IT環境是三種類型:端點、應用系統、雲端服務或儲存系統(Deep Instinct Prevention for Storage原本包含DPS for NAS、DPS for Cloud Storage,現在則區分為DSX for NAS、DSX for Cloud),其實還有一種產品類型尚未納入,那就是網站閘道(Web Gateway)。
此類專司線上內容傳遞的系統過去只能仰賴傳統防毒降低資安風險,雖然後來市場上出現新技術,像是沙箱檢測(Sandboxing)、內容威脅解除與重組(CDR),但可能都面臨使用效率不彰、協同合作架構較複雜的挑戰,Deep Instinct過去曾提供Deep Instinct for Web Gateways,可透過ICAP協定接取,藉此進行AI靜態分析、進行資安預防處理,或許未來這類解決方案也有可能重新浮出檯面。
產品資訊
Deep Instinct Prevention for Endpoint
●原廠:Deep Instinct
●建議售價:廠商未提供
●支援作業系統:Windows(7至11,Server 2008 R2至2022)、macOS(10.12至11)、Linux(RHEL 7.9與8.0、CentOS 7.9、Ubuntu 20.04、AWS Linux 2 Kernel 4.14.x、Oracle Linux 7.9)、Android(8以上)、iOS(12以上)、ChromeOS
●支援虛擬化平臺:Amazon Workspaces、Citrix Hypervisor與XenDesktop、VMware ESX與Horizon、Microsoft Hyper-V、Oracle VirtualBox
●組成架構:部署於端點電腦或伺服器的代理程式D-Client、管理伺服器與管理主控臺、雲端信譽查詢服務D-Cloud、部署於端點電腦與容器化應用程式的預測模型D-Brain、設置於Deep Instinct labs的類神經網路Deep Instinct Neural Network
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】
