Lucas+Mearian
编译 杨勇
MobileIron已经与基于机器学习的威胁检测供应商合作,将其技术应用到EMM客户端,这是移动领域的发展趋势。
在这一日益增长的发展趋势中,MobileIron今天宣布在其企业移动管理(EMM)客户端增加了基于机器学习的威胁检测软件,将帮助解决越来越多的移动攻击问题。
这家位于加州山景城的公司宣称,已经与机器学习行为分析和威胁检测软件开发商Zimperium展开了合作,Zimperium的软件主要用于监测移动设备上的非法活动和应用程序。
MobileIron说,会把Zimperium的z9引擎软件整合到其安全和合规客户端上。该软件将驻留在用户的iOS或者Android智能手机和平板电脑中,也将成为IT管理员EMM控制台的一部分。MobileIron說:“升级到MobileIron的EMM客户端将自动进行检测和响应移动威胁的过程。”
其他EMM厂商也在关注机器学习领域,建立合作伙伴关系,例如黑莓和Zimperium,以及戴尔和Cylance等PC厂商。但据研究公司J.Gold Associates首席分析师Jack Gold的说法,还不完全清楚通过机器学习算法进行移动威胁检测(MTD)有多有效,只有相对较少的公司部署了这项技术。
CCS Insight公司研究副总裁Nicholas McQuire说,目前围绕机器学习和人工智能究竟能干什么有太多的营销炒作,但该技术对于抵御恶意软件会非常有帮助。
McQuire说,过去两年中,移动攻击次数已经翻了一倍,导致IT部门越来越关注移动安全,特别是MTD。据CCS的2017年工作场所技术调查,今年,超过35%的IT决策者把设备安全、恶意软件和威胁保护列为企业移动和安全领域的首要投资事项。这项调查是在8月份进行的,但还没有公布详细结果。
McQuire说:“在我们看来,EMM和MTD相集成是解决客户目前需求的关键所在,也是领先技术供应商未来的一个重要创新领域。这将成为EMM行业的核心。绝对是这样的。”
然而,McQuire补充道,现在还很难说机器学习能够有效地检测到潜在的移动威胁,因为它仍然是一种新兴技术。
各种各样的EMM威胁检测方法
据Gartner,移动威胁检测和防御工具混合使用了漏洞管理、异常检测、行为分析、入侵防御和传输安全等技术来保护移动设备和应用程序免受高级威胁的攻击。据研究公司,MTD产品应提供四个层次的保护:
● 通过跟踪预期和可接受的使用模式,检测设备异常的行为。
● 通过检查设备是否存在可能导致执行恶意软件的配置弱点,对漏洞进行评估。
● 监视网络流量,禁用与移动设备可疑的连接。
● 识别恶意应用和应用程序——它们可能通过信誉扫描和代码分析使企业数据处于风险之中。
除了Zimperium,LookOut、Skycure(现在已属赛门铁克)和Wandera也都是移动威胁检测和防御市场的领先者,每一家都使用自己的机器学习算法来检测潜在的威胁。
例如,Wandera,刚刚公布了威胁检测引擎MI:RIAM。
据IT咨询机构Frost & Sullivan研究总监Jeanine Sterling,在刚刚过去的五月份,MI:RIAM使用了一系列的机器学习技术,据说发现400多个伪装的Slocker勒索软件,其目标就是企业的移动设备。
Sterling在与《计算机世界》的电子邮件中提到,“大部分人都认为,这种特殊的变种已经消失了,但MI:RIAM的确完成了机器学习解决方案的任务:它提取了数百万个历史数据点,从中发现了公认的SLocker的数字DNA。如果没有机器学习,绝不会有这样的发现。”
谷歌和微软进入威胁检测市场
微软也在其Windows 10平台上部署了基于机器学习的威胁检测技术,还通过其Intune云服务采用了EMM功能。微软最新的操作系统采用Windows Defender高级威胁防护功能,这一基于云的人工智能技术建立在微软智能安全图(ISG)之上,据微软说,能够识别新的威胁,包括勒索软件。
谷歌也推出了机器学习算法,被称为“对等群组分析(Peer Group Analysis)”,用于发现谷歌Play商店中收集或者发送敏感数据却没有明确需求的有害的移动应用程序,使用户能够更方便的找到功能合适并尊重他们隐私权的应用程序。
谷歌最近在其开发者博客中说道,“例如,大部分图画书应用程序不需要知道用户精确位置的功能,通过分析其他图画书应用程序就会知道这一点。”
McQuire说,Zimperium的机器学习技术已经不限于移动设备,几个移动银行应用程序也将其打上了“白标”。他说:“目前,企业对该技术非常感兴趣,但也存在一些问题。”
使MTD迟迟不能使用的一个问题是企业不愿意抛开自己的EMM供应商,从别人那里购买产品,还有就是用户对于在自己的智能手机和平板电脑上安装软件非常谨慎。McQuire说,因此,到目前为止,MTD软件并没有被广泛部署。
最初对威胁检测积极的反馈
Zimperium产品与云竞争对手的不同之处体现在其驻留在移动设备中的z9引擎软件上,它不仅注意恶意软件,而且还有网络和Wi-Fi热点潜在的威胁和用户行为。据McQuire,它也注意设备的基本健康状况,因此,如果恶意软件攻击使得设备被“越狱”,它也能够实时修复攻击造成的结果。McQuire说,采用了基于云的威胁检测技术后,当软件被攻击,然后做出反应,这期间会有延时。
McQuire说,Zimperium的z9引擎监测用户的行为,阻止恶意软件被下载到设备上,并检查从谷歌Play和苹果App Store下载的应用程序的健康状况。McQuire说:“这一机器学习的部分功能是它可以开始学习行为,查看设备是否已经不合规,或者被恶意软件攻破了,在一定程度上自动做出响应。”endprint
據Frost & Sullivan的Sterling,对于机器学习以及通过它所实现的预测分析,企业移动领域对其备受关注。
Sterling说:“我们看到,移动工作人员的应用程序中越来越多地采用了这种功能,极有可能将其添加到移动管理解决方案中;特别是随着EMM演进成UEM(统一终端管理),它还能够承担管理和保护部分物联网设备的职责。”
据Sterling,MTD技术用户最初的反馈是积极的,但仍处于早期阶段,这项技术才刚刚开始“沿着学习曲线前进”。
最终会在移动设备上应用机器学习吗?
Sterling说:“显然,越来越多的网络攻击和恶意软件事件让所有人都感到紧张不安,寻找方法来对付这类威胁。基于机器学习的威胁检测软件承诺能够快速、实时地识别威胁,然后快速、自动地进行补救。不利的一面是误报,可能会有很多误报,导致适得其反。”
MTD的另一个问题是,安装在移动设备上后,随着它收集越来越多的数据用于分析,会影响智能手机和平板电脑的性能。
Zimperium首席产品官John Michelsen说,z9软件检测恶意软件的有效性高达99%,它是“离线”工作的。在设备上使用结果威胁“分类器”或者算法,以检测威胁。
Michelsen说:“解决方案只读取属性,而不进行写操作,因此,它不会改变设备上的任何东西,随着时间的推移也不会影响性能”,他还补充说,消除恶意应用程序实际上有助于增强设备性能。
据Gold,MTD解决方案仍然是各种技术的混合,而一家公司使用很多移动设备会大大增加被泄漏的风险,所以使用这种技术“肯定比什么都没有要好”。Gold说:“大部分移动威胁都是通过不好的应用程序进行攻击的,这些产品未必见得能捕捉到所有这些恶意软件攻击。”
Gold说,Zimperium的z9引擎基本上是通过尝试理解应用程序应该做什么,用户怎样交互,设备上的哪些功能应该被激活,来检测不好的应用程序。
Gold说:“这要比我们多年来在PC上一直使用的签名匹配等技术好得多。但是很难确定产品能否成功地检测到所有威胁。Android的攻击途径与iOS的不同,所以,如果您想成功地开发一款针对手机的威胁防御产品,您必须具备这两方面的专长(除非您决定只采用一种平台)。iOS更难开发,因为苹果提供了很少的操作系统接口用于监视和连接。”
Lucas Mearian——高级记者,其工作涉及企业移动问题,包括移动管理、安全、硬件和应用程序,以及企业协作技术等。
原文网址:
http://www.computerworld.com/article/3230126/mobile-wireless/machine-learning-based-threat-detection-is-coming-to-your-smartphone.htmlendprint