利刃出击，思科凭借人工智能革新集成防御体系

回顾2017年的全球安全态势，恶意软件的演变是最重要的攻击动态之一。基于网络的勒索软件蠕虫，毁灭性供应链攻击，伪装成勒索软件的破坏性擦除程序恶意软件——恶意软件类型和系列的数量与种类不断增多，这大大削弱了防御者为掌控威胁而付出的努力，造成其长期处于混乱状态。但是，防御者不应陷入攻击者日常冲突所带来的混乱，以致无法注意到危机即将来临时的明显迹象。我们建议客户要密切关注全球各大地区的安全形势变化，与时俱进，采用自动化水平更高的高级工具（如机器学习和人工智能），对威胁防御、检测和补救进行补充，不断完善防御体系。

基于思科® 2018年度网络安全报告（ACR）对于过去12-18个月内全球威胁情报和网络安全趋势的丰富研究成果，我想与大家分享以下三点重要的观察，以说明人工智能和机器学习技术对于当今威胁防御的重要性：

各类恶意软件和恶意软件家族规模和种类不断增长，众多攻击者越来越善于隐藏其恶意攻击活动。正如思科研究人员所预测的那样，攻击者在2017年将恶意软件提升到了新的水平。基于网络的勒索软件蠕虫在发起勒索软件活动时不再需要人为参与。更糟糕的是还有像Nyetya这种伪装成勒索软件的擦除程序恶意软件，它们专门设计用来删除系统和数据。Nyetya攻击活动也是供应链攻击，这是我们的研究人员在2017年观察到的众多攻击形式之一。供应链攻击可以迅速影响计算机，规模大且速度快，并且会持续数月甚至数年。

思科® 2018年度网络安全报告（ACR）指出，截止2017年10月，加密流量在全球网络流量中所占的比例已达到50%，相较于2016年11月，加密网络流量增长了12个百分点。随着这一数量的增长，攻击者似乎正在更多地使用加密技术，作为隐藏其命令与控制活动的工具。我们的研究人员发现，在12个月内，检测到的恶意软件样本所使用的加密网络通信增加了三倍；截至2017年10月，在我们分析的40多万个恶意二进制文件中，大约有70%至少使用过某种加密。尽管加密技术有益于提高安全性，但攻击者采用加密来隐藏命令并控制活动，使得加密流量为恶意软件的传输和控制提供了可乘之机。作为勒索软件攻破网络抵御的重要入口，加密流量体量的大量增加，让防护者很难识别、监控出潜在的安全威胁。

鉴于恶意软件将通信隐藏在加密网络流量之内，以及网络内部的恶意人员利用企业云系统发送敏感数据，安全团队需采用有效的工具来防止或检测使用加密技术隐藏的恶意攻击活动。鉴于此，越来越多的企业探索使用机器学习和人工智能。这些高级功能可以学习在大量加密网络流量中识别异常模式，并在需要时自动提醒安全团队进行深入调查。

首席信息安全官 （CISO）接受了思科2018安全能力基准研究采访，在报告中表示，他们迫切需要增加可使用人工智能和机器学习的工具，并认为他们的安全基础设施越来越复杂化和智能化。但此类系统生成的大量误报也让他们感到沮丧，因为误报增加了安全团队的工作量。随着机器学习和人工智能技术的成熟，并了解到他们所监视的网络环境中哪些是“正常”活动，这些担忧逐渐减少。