top of page

amidas #Blog

Search

Darktrace AI 技術提升Cybersecurity



大家都知道網絡危機越趨嚴重,除了 Ransomware 及 DDoS 外,亦有其它如 Insider Threats 或 Phishing,同時有很多不同的 Compliance 需要,如幾年前常提及的 GDPR 或將會實行的網絡安全法,大家都會用不同工具檢測各種威脅,但當用到不同工具時,未必能關聯到各種威脅。我知道 Darktrace 都是一套很好的工具,亦能關聯到各種威脅,很高興今天邀請了 Darktrace Sales Team Lead Yuki Lam,講解一下 Darktrace 怎樣幫助大家。




Darktrace:相信很多已是 Amidas 或 Darktrace 的客戶,或者很多都已聽過 Darktrace,大家都應該知道 Darktrace 是第一間,利用 AI 技術放在 Cybersecurity 的公司,到現在已有9年,我們在倫敦總部及劍橋的 R&D Center 都有一班同事不斷硏究 AI 及 Machine Leanring 技術

在這個領域內,我們有超過115項專利,我們比較強是在 Detect & Respond 部分。Day 1, 我們是用 AI Self Learning 技術放在客戶的牆直接學習客戶的環境很多客戶都非常喜歡,因為省卻了不少 Setup Policy 或 Configuration 的時間,基本上把機器放在那兒自我學習就可以,這就是最早期我們 AI 的技術,之後我們能做到 Micro-Decision Respond,當我們偵測到異常連結時,我們可以採取 Surgical Action,包括 Ben 在某天登入了不知名網站,這個網站是其他同事不會瀏覽的,但你甚至乎會下載一些文件或上載一些文件進行連結,若 Darktrace 偵測到這個行為,我們就會即時截斷這個連結,當然,若果平時都是在處理行常的Business Operations 及平常的工作,這些就不會受影響,若果不幸地你的電腦受到 Ransomware 攻擊,我們的 AI 就會馬上 Block 或隔離你的電腦停止所有工作,這些不同層面的技術都是靠背後的AI Engine 發現了什麼而採取適當行動。早幾年,我們亦發展了一個 Explainable AI,我們相信 AI 不應是 Black Box,應該是透明及開放,AI 在牆內正處理什麼,你知道嗎?我們亦有一個 Cyber AI Analyst 技術,Day 1 Deploy 時是想省卻些 Investigation 工作,我們會處理所有提示及其關係,若發現某些提示能串連起來是同一個攻擊事件的不同階段,我們會自動提交相應的報告,AI 技術背後怎串聯這些報告或處理所有假設,我們都會把整個調查過程呈現出來令客戶知道背後發生什麼事,並不是黑盒。除了 Self Learning AI, Attack & Respond AI ,Explainable AI, 最後一個就是怎樣從不同的 AI Engine 提供出來的東西變成 Input或是可以輸入到另一個 AI Engine 提升整個 AI 系統及更加完善,提取不同數據讓整套方案做得更好。在這個 Cyber AI Loop 就是 Darktrace按整個流程作監測由 Prevent, Detect, Respond, 到 Heal在不同範疇內都想用 AI Engine 幫助客戶加強整個 Security System,Prevent 這個技術是上個月才發布,非常新鮮。Heal 這個部份將會是 2023年正式推出,現正在劍橋硏發部硏發中。Heal 就是若然出現任何攻擊,怎樣可以利用 AI 技術用最快速度令整個 Business Operations ,回復正常或回復到未被攻擊前的狀況因為客戶若不幸遭受攻擊,便需要很多資源,可能要處理 IRBackup Recovery 都需要一段時間,會相當影響 Business Operations,我們就想讓整件事情做得更好,用最快速度回復正常。


Amidas:聽起來,Darktrace 是一套很完整的 Security 解決方案,我都想了解一下 Darktrace Detect及 Respond可以保護哪些平台?


Darktrace:Darktrace 成立了 9年,立足香港 5年,現有過百個客戶,多謝其中一些觀眾的支持。很多客戶起初使用 Darktrace 都是在 Internal Corporate Network 內,主要原因是因為內部環境缺乏 Visibility,包括所有 Network Traffic,很多時候客戶都有配置 Firewall, Endpoint

但始終這些都是直向 Traffic,一些橫向或是 Natural Movement Traffic,甚至是 Insider Threats 都是在內部環境,確實是使用一個有效的用戶資料登入了,很多時候外部已信任了這件事但 Darktrace 是從行為角度查看會否有異常的 Network Traffic,異常的 User Activity 在發生我們就會馬上提示客戶,很多時候客戶就是有這些盲點,所以選用 Darktrace。至於另一個盲點,Darktrace 並不是利用 Rule 或 Signature-based,很多時候 Rule 或 Signature-based

靠 Firewall, Endpoint 就已攔截了不少,若然 Signature 未及時更新或是全球第一人受害

稱為 Zero Day Attack或是快速的 Ransomware Attack,客戶都想多一層保障。除了在網絡角度,近幾年,很多客戶都實行數碼轉型,包括把東西放上雲,或是 Adopt SaaS Platform

如 O365, 你們都是 Microsoft Core Partner,我們跟 Microsoft 都有 Partnership,按著這些 SaaS Platform 或 Azure 或客戶是用 Multiple Cloud,如正使用 Azure, AWS, Google,我們都可以提取所有Cloud Traffic或用戶在 SaaS Platform 的 Login Activities,登入後所有動作,我們都可以提取相關數據作分析提升全面的透明度。除了 Cloud, SaaS, 我們都有方案幫助 Remote User,尤其有些公司已提倡一星期數天在家工作,離開了 Corporate Network 就只能靠Endpoint 作保護,而一些異常行為,我們可以把 Light trace agent 安裝到Remote User 的電腦就可以監測 Real time traffic,若某用戶有可疑,如接駁 VPN 到公司,偷取資料並上載到其他雲端平台,我們都可以有足夠透明度呈現出來。除此之外,還有電郵或製造行業客戶的 OT System我們的方案都能包含在內。


Amidas:Darktrace 對內部網絡都非常了解,站在 Business Manager 或 CISO 角度

都想有多點積極主動的方法去保障自己的網絡環境。剛才都提及了新產品 Darktrace Prevent

是否就能幫助此方面的問題?


Darktrace:很多客戶都採取較被動方法,Darktrace 就是想用較積極主動的方法,在攻擊者發動攻擊前我們已經能預測那個攻擊,那就可先採取防禦,Prevent 最主要分兩個部分是上個月才推出,跟客戶推薦時,他們都感到非常有興趣,想試試。Prevent 包括兩個部分,第一個是 ASM,即 Attack Service Management,我們的做法就是利用客戶公司的品牌用一種 Think like an attacker 的手法,他們是怎樣去找東西,沒有公司的 IP, 亦沒有內部系統清單,那就在網絡世界查看公司在用那些網站查找在用什麼系統或軟件或找尋是否有地方出現漏洞繼而

能夠進入內部網絡。Darktrace 都會將所有細節掃描出來,亦會把相關行動建議給客戶,過去這兩星期跟客戶溝通時都發現他們都預留了 2023年的預算來實行這種主動的 ASM 方法,因為有很多 Use Case,如 Shadow IT, 原來有很多都沒有留意,會否市場部同事外發了某些系統跟其他夥伴合作,外發了一些工作而又正收集客戶資料,Security 或 IT 團隊完全不發現

甚至是人事部或硏發部在硏發公司的 Application 時,進行測試時但外洩了,並不應給外界看到的,因為只是內部測試中,這些狀況 ASM 都能偵測到,給客戶早些發覺及解決問題,但是很多客戶都在做定期的Penetration Test 或 Vulnerability Scanning,對於 Darktrace 來說,是否有衝突,這是個很好的問題,亦是客戶常常提出的。除了剛才提及的 Shadow IT Data Leak 狀況,基本上我們的系統是7X24,連續不斷地做監測,假設公司有很多資源不斷更新 Patch

我們即時會在系統內顯示新狀況,我們亦不是一個 One Off Solution。剛才提及的 Penetration Test可能是滿足某項 Audit Requirement,很多時候都是隔半年才執行或者做多一點,每季做一次,每次完成後都只有一次性的報告不能隨著情況變化或加入 Counter Measures 而即時更新,而我們的做法就是7X24,ASM 主要都是主動對外的保護方案而對內方面又怎樣。


Amidas:剛才提到 Darktrace Prevent 有另一款工具,我知道是 E2E。可否講解下 E2E 是處理什麼?


Darltrace:E2E 主要就是利用 Darktrace 非常了解客戶內部環境,我們就會設定 Attack Path Modeling,即是說透過 ASM 獲取的數據或是在 Detect 發現某系統有漏洞風險,透過這個路徑怎樣去到比較重要的帳戶,如 CEO, CFO, CTO 或 Admin 帳戶,他們有較高權限或一些較敏感系統,如 Financial Server, Domain Controller,我們可以透過 AI 運行所有情境及路徑

客戶可以即時知道及收到建議,需要處理的可以是改變某高級用戶的權限或者某處出現 Open Port ,但有些檔案在執行中可否先停止及刪除,在有限資源情況下,如年尾只有一萬元,究竟應該在那兒使用或者將會有很多同事放假,只剩下很少人力,究竟那些東西先要處理?就可以透過 E2E, 或不同的Attack Path 去檢查最重要的問題﹐再透過 Counter Measures 先處理。


如有任何疑問,歡迎透過以下方式聯絡我們:

電話:2168 0388

Whatsapp: 98283401

電郵:sales@amidas.com.hk

bottom of page