真正的網路安全應該讓各種保護技術互相搭配作用,從傳統的特徵碼到行為分析、再到深度學習。
由於新的、複雜的網路攻擊試圖突破現有的保護,因此建立多層次防護至關重要,針對不同層級的基礎設施,對於每項受保護的資產應使用不同性質的保護,這樣可以有效地防禦不同類型的惡意軟體,同時使資產對大多數攻擊者來說增加入侵難度。
上圖顯示卡巴斯基如何透過多層次防護來阻止威脅,說明如下:
- 特徵碼是一種可靠、且快速的技術,可以透過遮罩和雜湊來偵測惡意軟體。
- 啟發式偵測使用模擬、隔離的環境執行可疑程式碼,模擬環境中,二進位檔案和腳本都會被執行,這對防範網路攻擊至關重要。
- 經典偵測例行工作工具允許卡巴斯基專家專寫客製化程式碼,並將其直接傳遞給使用者。這項技術無可取代,有些資安公司軟體也有類似功能;這個方法可以傳給客戶勒索軟體解密器、和加殼解密器。
- 將簡化版機器學習模型架設在客戶端,即使資料庫兩個多月內沒有更新,這些模型的高泛用化能力還是有助於預防偵測未知威脅。
- 利用巨量資料的雲端偵測,利用來自卡巴斯基安全網路(其他解決方案也有類似雲端功能)中所有端點的威脅分析,對新威脅做出快速反應、並大幅減少誤報。
- 基於執行執行檔案後的日誌啟發式(系統監控,System Watcher),這個功能如同當場抓捕現行犯。根據執行檔案後的日誌,啟發式分析後發現可疑程序可從陰影複製、或從記憶體回滾惡意軟體進行的修改。
- 收集文件的即時行為以建立深度學習模型,這個模型能分析最少的惡意指令,並同時檢測文件的惡意是否為惡意。這可以大幅減少威脅持續存在,而且即使無法更新模型一段時間,也可以提供很高的偵測率。
因此,要抵擋現今複雜的網路威脅,是各個方式互相搭配,尤其在各個層次使用機器學習是卡巴斯基次世代端點防護的保護方法(也是部份其他家次世代端點防護)。在卡巴斯基被稱為「多層次的機器學習」或ML 2。
所有卡巴斯基的解決方案都使用相同的方法。
