Lucas+Mearian

編譯 楊勇

MobileIron已經(jīng)與基于機器學習的威脅檢測供應商合作，將其技術應用到EMM客戶端，這是移動領域的發(fā)展趨勢。

在這一日益增長的發(fā)展趨勢中，MobileIron今天宣布在其企業(yè)移動管理（EMM）客戶端增加了基于機器學習的威脅檢測軟件，將幫助解決越來越多的移動攻擊問題。

這家位于加州山景城的公司宣稱，已經(jīng)與機器學習行為分析和威脅檢測軟件開發(fā)商Zimperium展開了合作，Zimperium的軟件主要用于監(jiān)測移動設備上的非法活動和應用程序。

MobileIron說，會把Zimperium的z9引擎軟件整合到其安全和合規(guī)客戶端上。該軟件將駐留在用戶的iOS或者Android智能手機和平板電腦中，也將成為IT管理員EMM控制臺的一部分。MobileIron說：“升級到MobileIron的EMM客戶端將自動進行檢測和響應移動威脅的過程?！?/p>

其他EMM廠商也在關注機器學習領域，建立合作伙伴關系，例如黑莓和Zimperium，以及戴爾和Cylance等PC廠商。但據(jù)研究公司J.Gold Associates首席分析師Jack Gold的說法，還不完全清楚通過機器學習算法進行移動威脅檢測（MTD）有多有效，只有相對較少的公司部署了這項技術。

CCS Insight公司研究副總裁Nicholas McQuire說，目前圍繞機器學習和人工智能究竟能干什么有太多的營銷炒作，但該技術對于抵御惡意軟件會非常有幫助。

McQuire說，過去兩年中，移動攻擊次數(shù)已經(jīng)翻了一倍，導致IT部門越來越關注移動安全，特別是MTD。據(jù)CCS的2017年工作場所技術調(diào)查，今年，超過35%的IT決策者把設備安全、惡意軟件和威脅保護列為企業(yè)移動和安全領域的首要投資事項。這項調(diào)查是在8月份進行的，但還沒有公布詳細結果。

McQuire說：“在我們看來，EMM和MTD相集成是解決客戶目前需求的關鍵所在，也是領先技術供應商未來的一個重要創(chuàng)新領域。這將成為EMM行業(yè)的核心。絕對是這樣的。”

然而，McQuire補充道，現(xiàn)在還很難說機器學習能夠有效地檢測到潛在的移動威脅，因為它仍然是一種新興技術。

各種各樣的EMM威脅檢測方法

據(jù)Gartner，移動威脅檢測和防御工具混合使用了漏洞管理、異常檢測、行為分析、入侵防御和傳輸安全等技術來保護移動設備和應用程序免受高級威脅的攻擊。據(jù)研究公司，MTD產(chǎn)品應提供四個層次的保護：

● 通過跟蹤預期和可接受的使用模式，檢測設備異常的行為。

● 通過檢查設備是否存在可能導致執(zhí)行惡意軟件的配置弱點，對漏洞進行評估。

● 監(jiān)視網(wǎng)絡流量，禁用與移動設備可疑的連接。

● 識別惡意應用和應用程序——它們可能通過信譽掃描和代碼分析使企業(yè)數(shù)據(jù)處于風險之中。

除了Zimperium，LookOut、Skycure（現(xiàn)在已屬賽門鐵克）和Wandera也都是移動威脅檢測和防御市場的領先者，每一家都使用自己的機器學習算法來檢測潛在的威脅。

例如，Wandera，剛剛公布了威脅檢測引擎MI：RIAM。

據(jù)IT咨詢機構Frost & Sullivan研究總監(jiān)Jeanine Sterling，在剛剛過去的五月份，MI：RIAM使用了一系列的機器學習技術，據(jù)說發(fā)現(xiàn)400多個偽裝的Slocker勒索軟件，其目標就是企業(yè)的移動設備。

Sterling在與《計算機世界》的電子郵件中提到，“大部分人都認為，這種特殊的變種已經(jīng)消失了，但MI：RIAM的確完成了機器學習解決方案的任務：它提取了數(shù)百萬個歷史數(shù)據(jù)點，從中發(fā)現(xiàn)了公認的SLocker的數(shù)字DNA。如果沒有機器學習，絕不會有這樣的發(fā)現(xiàn)?！?/p>

谷歌和微軟進入威脅檢測市場

微軟也在其Windows 10平臺上部署了基于機器學習的威脅檢測技術，還通過其Intune云服務采用了EMM功能。微軟最新的操作系統(tǒng)采用Windows Defender高級威脅防護功能，這一基于云的人工智能技術建立在微軟智能安全圖（ISG）之上，據(jù)微軟說，能夠識別新的威脅，包括勒索軟件。

谷歌也推出了機器學習算法，被稱為“對等群組分析（Peer Group Analysis）”，用于發(fā)現(xiàn)谷歌Play商店中收集或者發(fā)送敏感數(shù)據(jù)卻沒有明確需求的有害的移動應用程序，使用戶能夠更方便的找到功能合適并尊重他們隱私權的應用程序。

谷歌最近在其開發(fā)者博客中說道，“例如，大部分圖畫書應用程序不需要知道用戶精確位置的功能，通過分析其他圖畫書應用程序就會知道這一點?！?/p>

McQuire說，Zimperium的機器學習技術已經(jīng)不限于移動設備，幾個移動銀行應用程序也將其打上了“白標”。他說：“目前，企業(yè)對該技術非常感興趣，但也存在一些問題。”

使MTD遲遲不能使用的一個問題是企業(yè)不愿意拋開自己的EMM供應商，從別人那里購買產(chǎn)品，還有就是用戶對于在自己的智能手機和平板電腦上安裝軟件非常謹慎。McQuire說，因此，到目前為止，MTD軟件并沒有被廣泛部署。

最初對威脅檢測積極的反饋

Zimperium產(chǎn)品與云競爭對手的不同之處體現(xiàn)在其駐留在移動設備中的z9引擎軟件上，它不僅注意惡意軟件，而且還有網(wǎng)絡和Wi-Fi熱點潛在的威脅和用戶行為。據(jù)McQuire，它也注意設備的基本健康狀況，因此，如果惡意軟件攻擊使得設備被“越獄”，它也能夠?qū)崟r修復攻擊造成的結果。McQuire說，采用了基于云的威脅檢測技術后，當軟件被攻擊，然后做出反應，這期間會有延時。

McQuire說，Zimperium的z9引擎監(jiān)測用戶的行為，阻止惡意軟件被下載到設備上，并檢查從谷歌Play和蘋果App Store下載的應用程序的健康狀況。McQuire說：“這一機器學習的部分功能是它可以開始學習行為，查看設備是否已經(jīng)不合規(guī)，或者被惡意軟件攻破了，在一定程度上自動做出響應?！眅ndprint

據(jù)Frost & Sullivan的Sterling，對于機器學習以及通過它所實現(xiàn)的預測分析，企業(yè)移動領域?qū)ζ鋫涫荜P注。

Sterling說：“我們看到，移動工作人員的應用程序中越來越多地采用了這種功能，極有可能將其添加到移動管理解決方案中；特別是隨著EMM演進成UEM（統(tǒng)一終端管理），它還能夠承擔管理和保護部分物聯(lián)網(wǎng)設備的職責。”

據(jù)Sterling，MTD技術用戶最初的反饋是積極的，但仍處于早期階段，這項技術才剛剛開始“沿著學習曲線前進”。

最終會在移動設備上應用機器學習嗎？

Sterling說：“顯然，越來越多的網(wǎng)絡攻擊和惡意軟件事件讓所有人都感到緊張不安，尋找方法來對付這類威脅?；跈C器學習的威脅檢測軟件承諾能夠快速、實時地識別威脅，然后快速、自動地進行補救。不利的一面是誤報，可能會有很多誤報，導致適得其反?！?/p>

MTD的另一個問題是，安裝在移動設備上后，隨著它收集越來越多的數(shù)據(jù)用于分析，會影響智能手機和平板電腦的性能。

Zimperium首席產(chǎn)品官John Michelsen說，z9軟件檢測惡意軟件的有效性高達99%，它是“離線”工作的。在設備上使用結果威脅“分類器”或者算法，以檢測威脅。

Michelsen說：“解決方案只讀取屬性，而不進行寫操作，因此，它不會改變設備上的任何東西，隨著時間的推移也不會影響性能”，他還補充說，消除惡意應用程序?qū)嶋H上有助于增強設備性能。

據(jù)Gold，MTD解決方案仍然是各種技術的混合，而一家公司使用很多移動設備會大大增加被泄漏的風險，所以使用這種技術“肯定比什么都沒有要好”。Gold說：“大部分移動威脅都是通過不好的應用程序進行攻擊的，這些產(chǎn)品未必見得能捕捉到所有這些惡意軟件攻擊?！?/p>

Gold說，Zimperium的z9引擎基本上是通過嘗試理解應用程序應該做什么，用戶怎樣交互，設備上的哪些功能應該被激活，來檢測不好的應用程序。

Gold說：“這要比我們多年來在PC上一直使用的簽名匹配等技術好得多。但是很難確定產(chǎn)品能否成功地檢測到所有威脅。Android的攻擊途徑與iOS的不同，所以，如果您想成功地開發(fā)一款針對手機的威脅防御產(chǎn)品，您必須具備這兩方面的專長（除非您決定只采用一種平臺）。iOS更難開發(fā)，因為蘋果提供了很少的操作系統(tǒng)接口用于監(jiān)視和連接?！?/p>

Lucas Mearian——高級記者，其工作涉及企業(yè)移動問題，包括移動管理、安全、硬件和應用程序，以及企業(yè)協(xié)作技術等。

原文網(wǎng)址：

http：//www.computerworld.com/article/3230126/mobile-wireless/machine-learning-based-threat-detection-is-coming-to-your-smartphone.htmlendprint