Bảo mật di động sử dụng máy học để phát hiện các cuộc tấn công mạng

Phòng thí nghiệm được đào tạo trong nhiều năm với hàng tỷ điểm dữ liệu

Bảo mật thiết bị di động trên thiết bị thế hệ mới

z9 ™ là công cụ phòng thủ các mối đe dọa trên nền tảng thiết bị di động mang tính cách mạng được phát triển bởi nhóm các nhà nghiên cứu và phát triển bảo mật di động tiên tiến của chúng tôi tại Zimperium. z9 ™ sử dụng máy học để phát hiện các cuộc tấn công trên thiết bị, mạng, lừa đảo và ứng dụng di động trên thiết bị và theo thời gian thực. Công cụ z9 ™ được phát triển đặc biệt dành cho thiết bị di động và nó không dựa theo cách bảo mật truyền thống là chỉ bảo mật các điểm truy cập thiết bị đầu cuối để bảo vệ và chống lại các mối đe dọa nhắm vào các thiết bị iOS, Android và Chromebook. z9 ™ chạy hiệu quả trên thiết bị không gây ra sự phản ứng chậm trễ khi xử lý sự cố hoặc là vi phạm quyền riêng tư của người dùng.

 

“Chúng tôi chọn công cụ của Zimperium vì chúng tôi nhận ra công nghệ vượt trội, đặc biệt là khả năng phát hiện mối nguy trên thiết bị và khả năng phát hiện lỗ hổng zero day.”
– Group CISO, Công ty ô tô đa quốc gia

Sẽ giống như một hệ thống thần kinh trung tâm bảo mật cho thiết bị di động của bạn

Giống như hệ thống thần kinh của bạn liên tục theo dõi cơ thể bạn từ bên trong, z9 ™ có thể phát hiện cả những mối đe dọa đã biết và chưa biết bằng cách phân tích hành vi của thiết bị di động. Bằng cách phân tích các sai lệch nhỏ nhất đối với các số liệu thống kê hệ điều hành, bộ nhớ, CPU và các thông số hệ thống khác của thiết bị di động, z9 ™ có thể xác định chính xác không chỉ loại tấn công độc hại cụ thể mà còn cung cấp các bản báo cáo tổng thể liên quan đến ai và cái gì và ở đâu và khi nào và như thế nào một cuộc tấn công xảy ra.

“Các mô hình máy học và bảo vệ mạng được cấp bằng sáng chế hoạt động rất tốt.”

– Nhà phân tích hoạt động và cơ sở hạ tầng, Công ty truyền thông đa quốc gia

Ngăn chặn các mối đe dọa dựa vào chữ ký hoặc tra cứu

Không giống như các hệ thống phát hiện mối đe dọa khác. z9 ™ giám sát toàn bộ thiết bị di động để tìm hành vi nguy hiểm bất kể điểm xâm nhập của cuộc các tấn công. Phương pháp này hiện diện trên toàn thiết bị không dựa vào “ID- identification viết tắt là xác định danh tính” bên ngoài hoặc chữ ký của phần mềm độc hại và thực hiện nhiều hơn vào việc quét ứng dụng. Điều này làm cho z9 ™ bất khả xâm phạm với các kỹ thuật ẩn mình như phần mềm độc hại đa dạng hoá, nhận biết máy ảo, phương pháp tải xuống, thực thi hoặc kỹ thuật làm thay đổi cấu trúc mã gốc trên thiết bị gốc theo cách xáo trộn, cho phép các giải pháp Zimperium tìm và bảo vệ chống lại các mối đe dọa mới từ lỗ hổng zero-day (là một thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục. Các hacker có thể tận dụng lỗ các hổng này để tấn công và xâm nhập vào hệ thống máy tính của doanh nghiệp và các tổ chức để đánh cắp hoặc thay đổi dữ liệu. Một cuộc tấn công khai thác lỗ hổng zero-day gọi là zero-day exploit hoặc zero-day attack) hoặc khi ngay cả khi bị ngắt kết nối khỏi mạng.

“Các mối quan tâm về quyền riêng tư và tuân thủ GDPR đã được thỏa mãn thông qua tính năng phát hiện trên thiết bị.”

– CISO, Tập đoàn Ngân hàng Quốc tế

TẠI SAO PHẢI ỨNG DỤNG MÁY HỌC

“Ứng dụng trí tuệ nhân tạo là khái niệm rộng hơn của máy móc có thể thực hiện các nhiệm vụ theo cách mà chúng ta xem là ‘thông minh’. Máy học là một ứng dụng của AI dựa trên ý tưởng rằng chúng ta thực sự có thể cung cấp cho máy móc quyền truy cập dữ liệu và để chúng tự học.” – Forbes

Tài liệu này sẽ sử dụng thuật ngữ “Máy học” hiệu quả hơn và hữu dụng hơn bởi vì độ chính xác và những gì đang được áp dụng tổng thể cho an ninh mạng và nói cách hẹp hơn là đối với bảo mật di động của Zimperium.

Trong an ninh mạng công nghệ máy học không còn là sự mới lạ, nhiều thực tế đã chứng minh máy học là môṭ yêu cầu tuyêṭ đối, ví dụ:

  • Thiếu hụt khả năng bảo mật: Chỉ đơn giản là có quá nhiều cảnh báo và quá ít người được huấn luyện, để phát hiện và ứng phó với các mối đe dọa trong một khoảng thời gian hợp lý.
  • Tấn công tốc độ máy: Ngày nay các cuộc tấn công được thực hiện ở tốc độ máy, do đó các phòng thủ phải có khả năng phản ứng bằng tính chất máy học để ngăn chặn kịp thời.
  • Hàng tỷ thiết bị: Không thể tránh khỏi khi tình huống xảy ra với hàng triệu máy chủ và máy tính để bàn, thiết bị di động và Internet Vạn Vật (IoT) thêm hàng tỷ thiết bị và khiến tình huống không thể xử lý thủ công.
  • Các cuộc tấn công hiệu quả: Mục tiêu các cuộc tấn công thông thường tạo ra sự thay đổi rất tinh vi trong thiết bị và hầu hết trong số họ không hiển thị cho nhà phân tích thấy. Đôi khi phát hiện duy nhất chỉ có thể dựa vào số liệu từ hành ngàn thông số thiết bị.

NHNG THIU SÓT TRONG VIỆC PHÁT HIỆN VÀ XÁC ĐỊNH MỐI NGUY

Khi mã độc thoát ra ngoài môi trường mạng, nó sẽ tấn công vào máy tính cá nhân và các máy chủ. Nhưng giai đoạn đó không kéo dài, kể từ đó phần lớn tất cả các cuộc tấn công đã được thiết kế để đánh cắp, vẫn ẩn sâu vào hệ thống và thường cho phép một chiến lược “tấn công có quy mô mở rộng” và tiếp tục chiến lược xâm nhập vào các tổ chức hoặc thu hút nhiều người tiêu dùng hơn.

Các nhà bảo mật không sử dụng các kỹ thuật tương tự để chống lại hacker, và cũng không nên là giải pháp an ninh duy nhất trên không gian mạng. Những chữ kỹ và lớp ngăn chặn phần mềm độc hại có thể được tích hợp cho việc phản hồi chậm hoặc các mối đe dọa truyền thống như vi-rút được thiết kế để tránh bị phát hiện và tìm thấy, nhưng các cách bảo mật truyền thống chúng không có đủ khả năng chống lại các cuộc tấn công nguy hiểm và chóng vánh, mã độc được tối ưu hóa để duy trì khả năng ẩn mình sâu vào hệ thống và tồn tại. Và thực tế này thậm chí còn rõ rệt hơn trong thiết bị di động và IoT, nơi có hàng tỷ thiết bị.

Những khách hàng dùng lớp ngăn chặn phần mềm nguy hiểm và kỹ thuật ký tên trên thiết bị di động bị buộc trong tình thế phải phản ứng nhanh chóng. Trước khi phát hiện bất cứ mối đe dọa nào, những cách tiếp cận dựa vào một vài điều xảy ra, ví dụ:

1.Một mẫu khai thác phải được xác định, tìm thấy và nhận diện được.

2.Một nhà nghiên cứu phải rà soát và kiểm tra hệ thống để tạo ra một nguồn dữ liệu khổng lồ và tập hợp các dữ liệu dựa trên chữ ký .

*Lưu ý: Tấn công những lỗi nhỏ trong hệ điều hành di động rất khó phát hiện vì giải pháp bảo mật không có quyền truy cập vào cùng một cấp dữ liệu mà các giải pháp chống vi-rút có trên các thiết bị người dùng cuối truyền thống (ví dụ: đăng ký chi tiết tâp̣ tin). Giới hạn lớp ngăn chặn bảo vệ trên thiết bị di động hạn chế quyền truy cập các giải pháp phát hiện mối đe doạ phải có dữ liệu người dùng. Trong hầu hết các trường hợp di động, dữ liệu hệ thống chung là thông tin duy nhất có sẵn để cung cấp tính năng phát hiện.

3.Tập tin chữ ký được cập nhật phải được gửi tới các thiết bị (nếu giải pháp cung cấp tính năng phát hiện trên thiết bị) hoặc cho đám mây (để tìm kiếm dựa trên đám mây).

*Chú ý: Ngoài các rủi ro phản ứng và thủ thuật thủ công liên quan tới vấn đề bảo mật và thủ thuật dựa vào chữ ký, các giải pháp bảo mật di động sử dụng phát hiện dựa trên đám mây có thể bị chậm lại và bị qua mặt hoàn toàn thông qua các cuộc tấn công trung gian (MITM-Man-In-The-Middle), và được thảo luận chi tiết hơn phía dưới.

4.Nhận ra rằng kẻ tấn công sẽ sớm thay đổi một số phần của mối đe dọa để tránh bị phát hiện, và trở lại bước #1 Lặp lại l

MÁY HỌC: MỘT TRONG NHỮNG YẾU TỐ QUAN TRỌNG BẢO VỆ THIT BI ̣DI ĐỘNG

Ngược lại với phần mềm bảo mật và dựa vào chữ ký. Phương pháp máy học của Zimperium hoàn toàn phù hợp với bảo mật di động dành cho doanh nghiệp. Công cụ máy học của chúng tôi là Zimperium z9 ™ phân tích dữ liệu hệ thống để xác định hành vi nguy hiểm và sau đó tạo ra các mô hình phân tích tinh vi để cho phép phát hiện nguy hiểm trên thiết bị. z9 không tìm kiếm dấu vết của một mối đe dọa nghiêm trọng đã biết; nó đang xác định các cuộc tấn công, ngay cả những cuộc tấn công không bao giờ được thấy và biết đến trước đây, bởi các hành động âm thầm chỉ ra một mối đe dọa đang xảy ra hoặc sắp xảy ra.

Mặc dù việc tạo ra một công cụ phát hiện dựa trên máy học hiệu quả cao như z9 là phức tạp và đòi hỏi nhiều năm thu thập và đào tạo dữ liệu, khái niệm này có thể được hiểu rõ nhất thông qua các phép so sánh đơn giản từ các áp dụng công nghệ z9 vào thiết bị và cuộc sống. Ví dụ, dựa trên nhiều năm đào tạo và một vài câu hỏi quan trọng cho bệnh nhân, một bác sĩ phẫu thuật tim có thể nhìn vào chỉ số điện tâm đồ và ngay lập tức chẩn đoán tình hình. Cô ấy không cần phải biết trước rằng bệnh nhân có một tình trạng bệnh nhất định; cô ấy xác định nó bằng cách biết nguồn dữ liệu nào có liên quan (và dữ liệu nào cần được bỏ qua) để đưa ra chẩn đoán chính xác nhất. Máy học hoạt động theo cách tương tự, chỉ khác là theo kiểu tự động hóa.

z9:PHÁT HIỆN MỌI KHAI THÁC TRÊN THIẾT BỊ DI ĐỘNG

Từ năm 2010 Zimperium đã cung cấp cho Z9 hàng tỷ điểm dữ liệu từ hàng triệu thiết bi.̣ Trên các cuộc tấn công của thiết bị, mạng và ứng dụng, z9 đã liên tục học hỏi và cải thiện độ chính xác của nó. Và nó đã được đền đáp, kể từ năm 2014 công cụ z9 dựa trên máy học đã phát hiện phần lớn mọi khai thác trên thiết bị di động và không yêu cầu người dung phải cập nhật.

Từ những kinh nghiệm và hàng tỷ điểm dữ liệu được phân tích, Zimperium tin tưởng mạnh mẽ vào khả năng của máy học z9 và một vài sự thật tổng quan về bảo mật di động cho doanh nghiệp.

MỤC ĐÍCH CÁC CUỘC TẤN CÔNG CỦA TIN TẶC …

  • Phát động các cuộc tấn công khó có khả năng phát hiện hoặc thay đổi cơ cấu cuộc tấn công để tránh bị phát hiện và không thể phân tích.
  • Tập trung vào việc giao tiếp của thiết bị, đó là cách mà hacker vẫn duy trì hoạt động liên tục và quản lý thiết bị / tối ưu hóa khả năng kiểm soát thiết bị  trong tương lai.
  • Sử dụng các cuộc tấn công MITM (Man-in-the-middle) hoặc các kỹ thuật lừa đảo để cung cấp cách khai thác cần thiết để giao tiếp với thiết bị nạn nhân. Đối với hầu hết các lý do, họ sẽ đưa ứng dụng trong App Store hoặc Google Play và hy vọng rằng ai đó của doanh nghiệp được nhắm mục tiêu sẽ tải xuống ứng dụng đó.

NHƯ KẾT QUẢ, GIẢI PHÁP BẢO MẬT THIẾT BỊ DI ĐỘNG DOANH NGHIỆP PHẢI…

  • Tăng cường mọi phương pháp xác định với việc dựa trên máy học để phát hiện và ngăn chặn các cuộc tấn công không xác định/ tùy biến được sử dụng cho các nỗ lực nhắm mục tiêu.
  • Đồng thời bao gồm tất cả các phương thức tấn công trên thiết bị (bắt đầu từ kernel -cốt lỗi hệ thống ), mạng và ứng dụng. Một điểm sai sót nhỏ là đủ để hacker hoàn toàn có thể kiểm soát mọi thiết bị.
  • Phát hiện các mối đe dọa trên thiết bị và không yêu cầu tra cứu dựa trên đám mây. Nếu kẻ tấn công sử dụng MITM, chúng sẽ kiểm soát mạng và sẽ không cho thiết bị kết nối với bất kỳ một giải pháp phát hiện dựa trên đám mây nào.
  • Sử dụng môi trường phù hợp cho mọi vấn đề.           

            – Đào tạo: Với hàng tỷ điểm dữ liệu cần phân tích, đào tạo máy học trong đám mây.

           – Phát hiện: Để ngăn chặn việc phá vỡ kẻ tấn công sử dụng kỹ thuật MITM -Man-In-The-Middle và các rủi ro khác liên quan đến các phương pháp dựa                trên đám mây việc phát hiện mối đe dọa dựa trên thời gian thực đã xảy ra trên thiết bị.

  • Với những nguyên lý đó, các phần tiếp nêu rõ cách triển khai của Zimperium, cách tiếp cận đào tạo máy học trên đám mây và phát hiện trên thiết bị. Chúng tôi tin rằng sự kết hợp này là cách duy nhất để cung cấp bảo mật di động cho doanh nghiệp một cách hiệu quả.      

ĐÀO TẠO MÁY HỌC DỰA TRÊN ĐÁM MÂY

Để tạo ra các yếu tố dự báo chính xác cao về các mối đe dọa trên thiết bị di động, một công cụ máy học như z9 phải phân tích (và liên tục phân tích lại) hàng tỷ điểm dữ liệu. Để xử lý một lượng lớn dữ liệu như vậy, Zimperium tận dụng hàng chục cụm máy tính hiệu suất cao trong đám mây để xây dựng các mô hình máy học của mình. Các mô hình sau đó được đánh giá trên thiết bị để cung cấp khả năng phát hiện ngay lập tức, ngay cả các mối đe dọa chưa biết trước đây và ngay cả khi bị ngắt kết nối.

z9’s:PHƯƠNG PHÁP ĐÀO TẠO DỰA TRÊN ĐÁM MÂY CÓ THỂ TÓM TẮT TRONG MÔ HÌNH NHƯ SAU:

    TRONG ĐÁM MÂY

1.Thu thập dữ liệu ban đầu

Bắt đầu từ năm 2010, nhóm nghiên cứu zLabs đoạt giải thưởng của Zimperium đã thu thập và phân tích hàng trăm thuộc tính từ hàng chục thiết bị sử dụng bình thường và trong khi bị tấn công bởi các hacker mũ trắng của Zimperium.

2.Đặc điểm hành vi

Mỗi hành vi được phân tích và phân loại là “bình thường” hoặc “bất thường” (có khả năng nguy hiểm).

3.Khử nhiễu và Lựa chọn tính năng / Trọng số

Mỗi cuộc tấn công thiết bị, mạng và ứng dụng (DNA) đều có một hồ sơ duy nhất về “phản ứng” hoặc những thay đổi có thể thấy trong dữ liệu hệ thống. Các điểm dữ liệu có thể dẫn đến kết quả không chính xác được xác định và loại bỏ. Đối với mỗi loại tấn công, các thuộc tính có liên quan được chọn và có trọng số.

4.Mô hình đào tạo máy học

z9 lặp lại và được đào tạo để có độ chính xác phát hiện tối ưu.

5.Tạo mô hình z9

Dựa trên sự kết hợp độc đáo, tối ưu hoá và kết hợp khử nhiễu của điểm dữ liệu cho từng mối đe doạ DNA, công cụ máy học z9 tạo ra tập hợp các nhóm phân loại phi tuyến tính để phát hiện điểm cuối. Các cụm này được gọi là “Mô hình z9”.

    TRÊN THIẾT BỊ

6.Triển khai điểm cuối

Mô hình z9 được phân phối tới các thiết bị. Không giống như chữ ký, các mô hình phát hiện hành vi tối ưu hóa không cần phải được cập nhật cho bất kỳ mối đe dọa mới nào. Điều này là do mỗi mối đe dọa kết hợp duy nhất  các thay đổi dữ liệu hệ thống không khác nhau và dễ dàng được phát hiện bởi các mô hình z9. Cho đến khi kẻ tấn công tạo ra một cách hoàn toàn mới để thực hiện các cuộc tấn công này, một cuộc tấn công không được phản ánh trong các thay đổi của hệ thống các mô hình z9 sẽ tiếp tục phát hiện các mối đe dọa ngay cả như mối đe doạ zero-day.

7.Thu thập dữ liệu

Hàng tỷ dữ liệu điều tra số  (phi cá nhân hoặc nhạy cảm) được thu thập từ hàng triệu thiết bi ̣trên toàn thế giới.

    TRÊN ĐÁM MÂY

8.Lặp lại và cải thiện

Dữ liệu được cung cấp từ các thiết bị, sau đó được sử dụng và liên tục được lặp lại toàn bộ quá trình học tập và tinh chỉnh các mô hình z9.

 

DỰA TRÊN MÁY HỌC PHÁT HIỆN LỖI TRÊN THIẾT B

Dưới đây là một số lợi ích từ việc ứng dụng máy học để phát hiện lỗi trên thiết bi:̣

1.Phát hiện các mối đe dọa không xác định: Không giống như các giải pháp xác định, ứng dụng máy học thậm chí phát hiện ngay cả các mối đe dọa trước đây chưa biết hoặc là zero-day.

2.Phát hiện tốc độ máy: Vì các cuộc tấn công di động xảy ra ở tốc độ máy, việc bảo vệ phải có khả năng phản ứng nhanh chóng. Chỉ phát hiện trên thiết bị trong thời gian thực mới có thể phù hợp với tốc độ máy. Việc tra cứu trên đám mây không thể khớp với tốc độ đó vì chúng vốn có đỗ trễ liên quan đến việc trao đổi dữ liệu qua lại trên mạng.

3.Bảo vệ quyền riêng tư cao nhất: Bằng cách thực hiện tất cả phát hiện trên thiết bị và dữ liệu có thể được coi là nhạy cảm không cần phải đưa vào đám mây.

4.Bảo vệ khi bị ngắt kết nối: Phát hiện trên thiết bị cung cấp sự bảo vệ ngay lập tức chống lại các cuộc tấn công mạng như MITM có thể khiến việc phát hiện dựa trên đám mây trở nên vô dụng. Chỉ phát hiện trên thiết bị mới có thể tiếp tục cung cấp bảo vệ ngay cả khi bị ngắt kết nối khỏi mạng.

TẠI SAO LẠI LÀ AMERITEC?

Ameritec cung cấp nền tảng quản lý mối đe dọa đối với các thiết bị di động đầu tiên, thực hiện việc chống lại các đe dọa trực tuyến liên tục và theo thời gian thực cho cả các thiết bị di động và ứng dụng:

  • Giám sát liên tục trên thiết bị và phát hiện các cuộc tấn công mạng di động đã biết và chưa biết trong thời gian thực.
  • Khả năng hiển thị toàn diện trên tất cả các thiết bị di động để đánh giá các rủi ro kinh doanh, xác định các lỗ hổng bảo mật và cập nhật các chính sách để điều chỉnh và cải thiện việc bảo vệ các ứng dụng và thiết bị di động.
  • Quản lý hoàn chỉnh với các thông báo đến quản trị viên, người dung cuối có thể định cấu hình và các đề xuất hành động theo chính sách được tự động dựa trên máy học của Zimperium để bảo vệ thiết bi ̣di động trên toàn thế giới và chính nó sẽ bảo vệ bạn.

Nhận tin tức mới nhất về An ninh mạng vào hộp thư của bạn

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây