Máy học

Tháng Bảy 26, 2020

    TẠI SAO PHẢI ỨNG DỤNG TRÍ TUỆ NHÂN TẠO (AI) Từ những nền tảng như Siri và Alexa dùng hỗ trợ việc vận hành tự động, ứng dụng trí tuệ nhân tạo và khả năng thông minh nhân tạo đã trở nên phổ biến trên toàn bộ lĩnh vực công nghệ. Trong các […]

 

Dựa trên ứng dụng trí tuệ nhân tạo để phát hiện sự thay đổi thiết bị di động

 

TẠI SAO PHẢI ỨNG DỤNG TRÍ TUỆ NHÂN TẠO (AI)

Từ những nền tảng như Siri và Alexa dùng hỗ trợ việc vận hành tự động, ứng dụng trí tuệ nhân tạo và khả năng thông minh nhân tạo đã trở nên phổ biến trên toàn bộ lĩnh vực công nghệ. Trong các phạm trù khác, chúng lại khác nhau.

“Ứng dụng trí tuệ nhân tạo là khái niệm rộng về việc máy móc thực hiện các nhiệm vụ theo cách mà chúng ta xem là ‘thông minh’. Ứng dụng trí tuệ nhân tạo là một ứng dụng của AI dựa trên ý tưởng rằng chúng ta thực sự chỉ có thể cung cấp cho máy truy cập vào dữ liệu và để cho phép chúng tìm hiểu cho chúng ta.”
Forbes

Tài liệu này sẽ sử dụng thuật ngữ “Ứng dụng trí tuệ nhân tạo” hiệu quả hơn và hữu dụng hơn bởi vì đó chính xác là những gì đang được áp dụng tổng thể cho an ninh mạng và trong phạm vi nhỏ hơn là đối với bảo mật di động bằng Zimperium.

Trong an ninh mạng ứng dụng trí tuệ nhân tạo không còn là sự mới lạ, nhiều thực tế đã chứng minh ứng dụng trí tuệ nhân tạo là mộṭ yêu cầu tuyệṭ đối, thí du:

  • Không đủ khả năng bảo mật: Chỉ đơn giản là có quá nhiều cảnh báo và quá ít người được huấn luyện, để phát hiện và ứng phó với các mối đe dọa trong một khoảng thời gian hợp lý
  • Tấn công tốc độ máy: Ngày nay các cuộc tấn công được thực hiện ở tốc độ máy, do đó các phòng thủ phải có khả năng phản ứng bằng tính chất máy học để ngăn chặn kịp thời.
  • Hàng tỷ thiết bị: Không thể tránh khỏi khi tình huống xảy ra với hàng triệu máy chủ và máy tính để bàn, thiết bị di động và Internet Vạn Vật (IoT) thêm hàng tỷ thiết bị và khiến tình huống không thể xử lý thủ công.
  • Các cuộc tấn công hiệu quả: Mục tiêu các cuộc tấn công thông thường tạo ra sự thay đổi rất tinh vi trong thiết bị và hầu hết trong số họ không hiển thị cho nhà phân tích thấy. Đôi khi phát hiện duy nhất chỉ có thể dựa vào số liệu từ hành ngàn thông số thiết bị.

Nhiều công ty sử dụng thuật ngữ “ứng dụng trí tuệ nhân tạo” mà không thực sự giải thích được cách họ tiếp cận công nghệ này ra sao. Ngược lại, Zimperium tin vào sự minh bạch và đã viết tài liệu này:

  • Lý do của chúng tôi dùng cách phát hiện các mối đe dọa trên thiết bị di động dựa trên ứng dụng trí tuệ nhân tạo thay vì chỉ dựa vào các phương pháp xác định truyền thống như chữ ký, lớp bảo mật ngăn chặn phần mềm nguy hiểm.
  • Khẳng định các nguyên tắc cơ bản thúc đẩy cách tiếp cận dựa trên ứng dụng trí tuệ nhân tạo của chúng tôi để phát hiện mối đe dọa trên thiết bị di động
  • Giải thích sự kết hợp hoàn toàn độc đáo của chúng tôi:
    • Đào tạo công cụ ứng dụng trí tuệ nhân tạo của chúng tôi trên đám mây;
    • Sử dụng đầu ra của đào tạo để cho phép phát hiện thời gian thực trực tiếp trên các thiết bị di động, ngay cả khi bị ngắt kết nối từ mạng.
  • Cung cấp một số “bài kiểm tra” giúp doanh nghiệp kiểm chứng thực tế của mỗi công cụ bảo vệ ứng dụng trí tuệ nhân tạo của công ty bảo mật thiết bi ̣di động.

NHỮNG THIẾU XÓT TRONG VIỆC PHÁT HIỆN VÀ XÁC ĐỊNH MỐI NGUY

Khi mã độc thoát ra ngoài môi trường mạng, nó sẽ tấn công vào máy tính cá nhân và các máy chủ. Nhưng giai đoạn đó không kéo dài, kể từ đó phần lớn tất cả các cuộc tấn công đã được thiết kế để đánh cắp, vẫn ẩn sâu vào hệ thống và thường cho phép một chiến lược “tấn công có quy mô mở rộng” và tiếp tục chiến lược xâm nhập vào các tổ chức hoặc thu hút nhiều người tiêu dùng hơn.

Các nhà bảo mật không sử dụng các kỹ thuật tương tự để chống lại hacker, và cũng không nên là giải pháp an ninh duy nhất trên không gian mạng. Những chữ kỹ và lớp ngăn chặn phần mềm độc hại có thể được tích hợp cho việc phản hồi chậm hoặc các mối đe dọa truyền thống như vi-rút được thiết kế để tránh bị phát hiện và tìm thấy, nhưng các cách bảo mật truyền thống chúng không có đủ khả năng chống lại các cuộc tấn công nguy hiểm và chóng vánh, mã độc được tối ưu hóa để duy trì khả năng ẩn mình sâu vào hệ thống và tồn tại. Và thực tế này thậm chí còn rõ rệt hơn trong thiết bị di động và IoT, nơi có hàng tỷ thiết bị.

Những khách hàng dùng lớp ngăn chặn phần mềm nguy hiểm và kỹ thuật ký tên trên thiết bị di động bị buộc trong tình thế phải phản ứng nhanh chóng. Trước khi phát hiện bất cứ mối đe dọa nào, những cách tiếp cận dựa vào một vài điều xảy ra, ví dụ:

1.Một mẫu khai thác phải được xác định, tìm thấy và nhận diện được.

2.Một nhà nghiên cứu phải rà soát và kiểm tra hệ thống để tạo ra một nguồn dữ liệu khổng lồ và tập hợp các dữ liệu dựa trên chữ ký .

*Lưu ý: Tấn công những lỗi nhỏ trong hệ điều hành di động rất khó phát hiện vì giải pháp bảo mật không có quyền truy cập vào cùng một cấp dữ liệu mà các giải pháp chống vi-rút có trên các thiết bị người dùng cuối truyền thống (ví dụ: đăng ký chi tiết tâp̣ tin). Giới hạn lớp ngăn chặn bảo vệ trên thiết bị di động hạn chế quyền truy cập các giải pháp phát hiện mối đe doạ phải có dữ liệu người dùng. Trong hầu hết các trường hợp di động, dữ liệu hệ thống chung là thông tin duy nhất có sẵn để cung cấp tính năng phát hiện.

3.Tập tin chữ ký được cập nhật phải được gửi tới các thiết bị (nếu giải pháp cung cấp tính năng phát hiện trên thiết bị) hoặc cho đám mây (để tìm kiếm dựa trên đám mây).

*Chú ý: Ngoài các rủi ro phản ứng và thủ thuật thủ công liên quan tới vấn đề bảo mật và thủ thuật dựa vào chữ ký, các giải pháp bảo mật di động sử dụng phát hiện dựa trên đám mây có thể bị chậm lại và bị qua mặt hoàn toàn thông qua các cuộc tấn công trung gian (MITM-Man-In-The-Middle), và được thảo luận chi tiết hơn phía dưới.

4.Nhận ra rằng kẻ tấn công sẽ sớm thay đổi một số phần của mối đe dọa để tránh bị phát hiện, và trở lại bước #1 Lặp lại liên tục.

ỨNG DỤNG TRÍ TUỆ NHÂN TẠO: MỘT TRONG NHỮNG YẾU TỐ QUAN TRỌNG BẢO VỆ THIẾT BỊ DI ĐỘNG

Ngược lại với phần mềm bảo mật và dựa vào chữ ký. Phương pháp máy học của Zimperium hoàn toàn phù hợp với bảo mật di động dành cho doanh nghiệp. Công cụ máy học của chúng tôi là Zimperium z9 ™ phân tích dữ liệu hệ thống để xác định hành vi nguy hiểm và sau đó tạo ra các mô hình phân tích tinh vi để cho phép phát hiện nguy hiểm trên thiết bị. z9 không tìm kiếm dấu vết của một mối đe dọa nghiêm trọng đã biết; nó đang xác định các cuộc tấn công, ngay cả những cuộc tấn công không bao giờ được thấy và biết đến trước đây, bởi các hành động âm thầm chỉ ra một mối đe dọa đang xảy ra hoặc sắp xảy ra.

Mặc dù việc tạo ra một công cụ phát hiện dựa trên máy học hiệu quả cao như z9 là phức tạp và đòi hỏi nhiều năm thu thập và đào tạo dữ liệu, khái niệm này có thể được hiểu rõ nhất thông qua các phép so sánh đơn giản từ các áp dụng công nghệ z9 vào thiết bị và cuộc sống. Ví dụ, dựa trên nhiều năm đào tạo và một vài câu hỏi quan trọng cho bệnh nhân, một bác sĩ phẫu thuật tim có thể nhìn vào chỉ số điện tâm đồ và ngay lập tức chẩn đoán tình hình. Cô ấy không cần phải biết trước rằng bệnh nhân có một tình trạng bệnh nhất định; cô ấy xác định nó bằng cách biết nguồn dữ liệu nào có liên quan (và dữ liệu nào cần được bỏ qua) để đưa ra chẩn đoán chính xác nhất. Máy học hoạt động theo cách tương tự, chỉ khác là theo kiểu tự động hóa.

z9:PHÁT HIỆN MỌI KHAI THÁC TRÊN THIẾT BỊ DI ĐỘNG

Từ năm 2010 Zimperium đã cung cấp cho Z9 hàng tỷ điểm dữ liệu từ hàng triệu thiết bi.̣ Trên các cuộc tấn công của thiết bị, mạng và ứng dụng, z9 đã liên tục học hỏi và cải thiện độ chính xác của nó. Và nó đã được đền đáp, kể từ năm 2014 công cụ z9 dựa trên máy học đã phát hiện phần lớn mọi khai thác trên thiết bị di động và không yêu cầu người dung phải cập nhật.

Từ những kinh nghiệm và hàng tỷ điểm dữ liệu được phân tích, Zimperium tin tưởng mạnh mẽ vào khả năng của máy học z9 và một vài sự thật tổng quan về bảo mật di động cho doanh nghiệp.

MỤC ĐÍCH CÁC CUỘC TẤN CÔNG CỦA TIN TẶC…

  • Phát động các cuộc tấn công khó có khả năng phát hiện hoặc thay đổi cơ cấu cuộc tấn công để tránh bị phát hiện và không thể phân tích.
  • Tập trung vào việc giao tiếp của thiết bị, đó là cách mà hacker vẫn duy trì hoạt động liên tục và quản lý thiết bị / tối ưu hóa khả năng kiểm soát thiết bị  trong tương lai.
  • Sử dụng các cuộc tấn công MITM (Man-in-the-middle) hoặc các kỹ thuật lừa đảo để cung cấp cách khai thác cần thiết để giao tiếp với thiết bị nạn nhân. Đối với hầu hết các lý do, họ sẽ đưa ứng dụng trong App Store hoặc Google Play và hy vọng rằng ai đó của doanh nghiệp được nhắm mục tiêu sẽ tải xuống ứng dụng đó.

NHƯ KẾT QUẢ, GIẢI PHÁP AN NINH THIẾT BỊ DI ĐỘNG DOANH NGHIỆP PHẢI…

 

  • Tăng cường mọi phương pháp xác định với việc dựa trên máy học để phát hiện và ngăn chặn các cuộc tấn công không xác định/ tùy biến được sử dụng cho các nỗ lực nhắm mục tiêu.
  • Đồng thời bao gồm tất cả các phương thức tấn công trên thiết bị (bắt đầu từ kernel -cốt lỗi hệ thống ), mạng và ứng dụng. Một điểm sai sót nhỏ là đủ để hacker hoàn toàn có thể kiểm soát mọi thiết bị.
  • Phát hiện các mối đe dọa trên thiết bị và không yêu cầu tra cứu dựa trên đám mây. Nếu kẻ tấn công sử dụng MITM, chúng sẽ kiểm soát mạng và sẽ không cho thiết bị kết nối với bất kỳ một giải pháp phát hiện dựa trên đám mây nào.
  • Sử dụng môi trường phù hợp cho mọi vấn đề.           

            – Đào tạo: Với hàng tỷ điểm dữ liệu cần phân tích, đào tạo máy học trong đám mây.

           – Phát hiện: Để ngăn chặn việc phá vỡ kẻ tấn công sử dụng kỹ thuật MITM -Man-In-The-Middle và các rủi ro khác liên quan đến các phương pháp dựa                trên đám mây việc phát hiện mối đe dọa dựa trên thời gian thực đã xảy ra trên thiết bị.

  • Với những nguyên lý đó, các phần tiếp nêu rõ cách triển khai của Zimperium, cách tiếp cận đào tạo máy học trên đám mây và phát hiện trên thiết bị. Chúng tôi tin rằng sự kết hợp này là cách duy nhất để cung cấp bảo mật di động cho doanh nghiệp một cách hiệu quả.   

 

ĐÀO TẠO MÁY HỌC DỰA TRÊN ĐÁM MÂY

Để tạo ra các yếu tố dự báo chính xác cao về các mối đe dọa trên thiết bị di động, một công cụ máy học như z9 phải phân tích (và liên tục phân tích lại) hàng tỷ điểm dữ liệu. Để xử lý một lượng lớn dữ liệu như vậy, Zimperium tận dụng hàng chục cụm máy tính hiệu suất cao trong đám mây để xây dựng các mô hình máy học của mình. Các mô hình sau đó được đánh giá trên thiết bị để cung cấp khả năng phát hiện ngay lập tức, ngay cả các mối đe dọa chưa biết trước đây và ngay cả khi bị ngắt kết nối.

z9’s
PHƯƠNG ÁN ĐÀO TẠO DỰA TRÊN ĐÁ M MÂY CÓ THỂ TÓM TẮT TRONG MÔ HÌNH NHƯ SAU:

TRONG ĐÁM MÂY

1.Thu thập dữ liệu ban đầu

Bắt đầu từ năm 2010, nhóm nghiên cứu zLabs đoạt giải thưởng của Zimperium đã thu thập và phân tích hàng trăm thuộc tính từ hàng chục thiết bị sử dụng bình thường và trong khi bị tấn công bởi các hacker mũ trắng của Zimperium.

2.Đặc điểm hành vi

Mỗi hành vi được phân tích và phân loại là “bình thường” hoặc “bất thường” (có khả năng nguy hiểm).

3.Khử nhiễu và Lựa chọn tính năng / Trọng số

Mỗi cuộc tấn công thiết bị, mạng và ứng dụng (DNA) đều có một hồ sơ duy nhất về “phản ứng” hoặc những thay đổi có thể thấy trong dữ liệu hệ thống. Các điểm dữ liệu có thể dẫn đến kết quả không chính xác được xác định và loại bỏ. Đối với mỗi loại tấn công, các thuộc tính có liên quan được chọn và có trọng số.

4.Mô hình đào tạo máy học

z9 lặp lại và được đào tạo để có độ chính xác phát hiện tối ưu.

5.Tạo mô hình z9

Dựa trên sự kết hợp độc đáo, tối ưu hoá và kết hợp khử nhiễu của điểm dữ liệu cho từng mối đe doạ DNA, công cụ máy học z9 tạo ra tập hợp các nhóm phân loại phi tuyến tính để phát hiện điểm cuối. Các cụm này được gọi là “Mô hình z9”.

    TRÊN THIẾT BỊ

6.Triển khai điểm cuối

Mô hình z9 được phân phối tới các thiết bị. Không giống như chữ ký, các mô hình phát hiện hành vi tối ưu hóa không cần phải được cập nhật cho bất kỳ mối đe dọa mới nào. Điều này là do mỗi mối đe dọa kết hợp duy nhất  các thay đổi dữ liệu hệ thống không khác nhau và dễ dàng được phát hiện bởi các mô hình z9. Cho đến khi kẻ tấn công tạo ra một cách hoàn toàn mới để thực hiện các cuộc tấn công này, một cuộc tấn công không được phản ánh trong các thay đổi của hệ thống các mô hình z9 sẽ tiếp tục phát hiện các mối đe dọa ngay cả như mối đe doạ zero-day.

7.Thu thập dữ liệu

Hàng tỷ dữ liệu điều tra số  (phi cá nhân hoặc nhạy cảm) được thu thập từ hàng triệu thiết bi ̣trên toàn thế giới.

    TRÊN ĐÁM MÂY

8.Lặp lại và cải thiện

Dữ liệu được cung cấp từ các thiết bị, sau đó được sử dụng và liên tục được lặp lại toàn bộ quá trình học tập và tinh chỉnh các mô hình z9.

ỨNG DỤNG TRÍ TUỆ NHÂN TẠO PHÁT HIỆN LỖI TRÊN THIẾT BỊ

Dưới đây là một số lợi ích từ việc ứng dụng máy học để phát hiện lỗi trên thiết bi:̣

1.Phát hiện các mối đe dọa không xác định: Không giống như các giải pháp xác định, ứng dụng máy học thậm chí phát hiện ngay cả các mối đe dọa trước đây chưa biết hoặc là zero-day.

2.Phát hiện tốc độ máy: Vì các cuộc tấn công di động xảy ra ở tốc độ máy, việc bảo vệ phải có khả năng phản ứng nhanh chóng. Chỉ phát hiện trên thiết bị trong thời gian thực mới có thể phù hợp với tốc độ máy. Việc tra cứu trên đám mây không thể khớp với tốc độ đó vì chúng vốn có đỗ trễ liên quan đến việc trao đổi dữ liệu qua lại trên mạng.

3.Bảo vệ quyền riêng tư cao nhấtBằng cách thực hiện tất cả phát hiện trên thiết bị và dữ liệu có thể được coi là nhạy cảm không cần phải đưa vào đám mây.

4.Bảo vệ khi bị ngắt kết nối: Phát hiện trên thiết bị cung cấp sự bảo vệ ngay lập tức chống lại các cuộc tấn công mạng như MITM có thể khiến việc phát hiện dựa trên đám mây trở nên vô dụng. Chỉ phát hiện trên thiết bị mới có thể tiếp tục cung cấp bảo vệ ngay cả khi bị ngắt kết nối khỏi mạng.

Kiểm tra # 1 để tách yếu tố xã hội khỏi thực tế:
Câu hỏi cho nhà cung cấp

Ngày nay, hầu hết các nhà cung cấp bảo mật di động đều đưa ra các tuyên bố về ứng dụng trí tuệ nhân tạo. Để xác định thực tế của phương pháp tiếp cận từ bất kỳ nhà cung cấp nào (kể cả Zimperium), hãy hỏi những câu hỏi đơn giản này:

Liệu khả năng ứng dụng trí tuệ nhân tạo có hoạt động mà không yêu cầu một nạn nhân số không (victim zero) hoặc sự hy sinh có lợi (sacrificial lamb)?

Mô hình toán học ứng dụng trí tuệ nhân tạo rộng rãi như thế nào và bao nhiêu năm nó đã được thử nghiệm trong thế giới thực?

Giải pháp của bạn cần cập nhật bao nhiêu lần, bao gồm cả chữ ký mới, để phát hiện các mối đe dọa mới nhất?

Khả năng ứng dụng trí tuệ nhân tạo có hoạt động cả trong môi trường kết nối và ngắt kết nối không?

Việc bảo vệ của bạn có thể hoạt động theo mili giây không, ít ảnh hưởng đến việc sử dụng CPU và pin?

Kiểm tra # 2 để tách yếu tố xã hội khỏi thực tế:
Dung lượng lớn và nhiều chậm trễ trong việc phản ứng sự cố

Xem lại các blog và các thông tin khác của từng nhà cung cấp. Nếu thông báo đề cập đến có dung lượng lớn về thông tin, và thời gian phát hiện chậm trễ kể từ khi các thiết bị lần đầu bi ̣tấn công, thì công cụ ứng dụng trí tuệ nhân tạo của họ không được triển khai tối ưu. Ví dụ: nếu nhà cung cấp viết blog về một ứng dụng độc hại đã có mặt trong các ứng dụng đã lưu trữ nhiều tháng và có hàng triệu lượt tải xuống, bạn có thể giả định rằng việc phát hiện thủ công và xác thực đã xảy ra. Mặt khác, tiết lộ về một cuộc tấn công chỉ có vài nghìn lượt tải xuống trước khi phá hiện cho thấy việc ứng dụng trí tuệ nhân tạo đã có hiệu quả chưa?

Kiểm tra # 3 để tách yếu tố xã hội khỏi thực tế:
Tự Bạn thử kiểm chứng

Bắt đầu từ hôm nay

Để xem Zimperium có thể bảo vệ các thiết bị di động của tổ chức của bạn khỏi các mối đe dọa nâng cao như thế nào, hãy dùng thử doanh nghiệp miễn phí ngay hôm nay.Dùng thử doanh nghiệp miễn phí

Nhận tin tức mới nhất về An ninh mạng vào hộp thư của bạn

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây