针对企业网络的网络攻击在 2021 年上升了 50%,并且 预计 2022 年的情况会更加严重。Elastic Endpoint Security 包含多种保护层,以确保最大程度地覆盖各种类型的恶意软件。最近有一些例子表明,为了防御最新的恶意软件,需要对用户环境进行 快速、准确的更新。在 Elastic,我们一直在改进流程,以便快速响应新信息并向用户传播这些防护措施。
作为我们安全解决方案的一部分,我们使用机器学习模型来帮助我们根据已知特征检测恶意软件。由于机器学习永远不完美,因此我们部署了补充工件,包括从恶意到良性的已知文件哈希列表。在两种情况下,我们可能需要更新这些列表,我们将在本文中介绍这两种情况。通过使用这些,团队可以更快地响应恶意软件。
[相关文章:为了乐趣和利润而沙盒化反恶意软件产品]
情景 1:模型并非完美
这种情况很少发生,因为我们的模型具有 99.8% 的真阴性率。但没有模型是完美的,由于嘈杂的数据(特别是大量重复数据),我们的真阳性率从 99%(非常棒)下降到 97.9%。在将机器学习应用于网络安全时,数据漂移是一个始终存在的挑战,也是使其成为如此有趣的问题的原因之一。
我们可以通过几种方式来判断我们的模型是否在做错误的事情
- 用户反馈。
用户发送电子邮件告诉我们,某个自定义软件被标记为恶意软件,但实际上是安全的。
- 从在客户机器上运行的模型返回的遥测数据。
我们查看警报的数量和速度,使用 Elastic 的异常检测功能来告知我们是否某个特定文件突然出现峰值。我们还使用模式来帮助我们确认警报是来自单个嘈杂的机器、测试集群还是合法的威胁。
使用列表作为机器学习的后盾的优势在于,它可以快速轻松地确保我们的客户免受新型恶意软件的侵害,并保护他们免受误报带来的不必要干扰。
情景 2:出现新型恶意软件
我们通常从安全新闻/社区资源或我们自己的安全情报和分析团队识别出的新型恶意软件中了解到新型恶意软件。
发生这种情况时,我们可以轻松地对列表进行少量更改。我们会单独更新模型,因为这需要更长的时间。
我们一直在不断增加自动化程度,以使将更新列表部署给客户的过程更加顺畅和快速,目标是使团队中的任何人都可以轻松创建和部署更新。我们还一直在努力使更新模型的过程更加轻松和快速。
尚未发现的威胁…
Elastic Security Intelligence and Analytics 团队继续研究和响应突破性的威胁,其使命是帮助 Elastic 客户和更广泛的安全社区。如果您已经在使用 Elastic Security,您可以在平台内的新闻源中看到我们的最新发现。我们还将在 elastic.co/blog 上发布我们的最新发现。
准备好成为 Elastic Security 社区的一员并利用该团队领先的威胁研究吗?开始免费 试用 Elastic Cloud 14 天或免费下载自管理版本的 Elastic Stack。