Sophos宣布四項全新開放式人工智慧開發成果

Sophos 宣布四個全新的開放式人工智慧 (AI) 開發成果，有助擴大和提升業界防禦網路攻擊的能力，當中包括專為促進業界合作創新而設的資料集、工具及研究。此舉加速了 Sophos 的一項首要目標，即開放其資料科學的突破成果，使網路安全中的 AI 應用更清楚易懂，務求槓有效地保護企業並免受各種網路犯罪的侵害。

即使其他業界經常共享 AI 研究和成果，但在網路安全方面仍然落後，因此人們對 AI 如何能夠抵禦網路威脅仍不瞭解。Sophos 與 SophosAI 資料科學家團隊正在促進這一項開放性的轉變，使 IT 管理員、安全分析人員、財務長、執行長以及其他負責安全採購或管理的決策人員，可以在一個公平及充分理解的環境下理性討論和評估 AI 的效益。

Sophos首席技術總監Joe Levy指出：「透過 SophosAI 開放研究成果的最新計畫，我們能夠協助定義 AI 在未來網路安全中的定位和影響。今日業界對 AI 解決方案的能力和效率說法含糊不清且保守，購買者難以理解或驗證。在我們出現重大突破的這一刻，這個問題反而引起他們的疑慮，成為未來發展的阻力。利用標準或法規等外部機制較難及時糾正這個問題，相反地，它需要我們來自基層力量和業界的自我監管，才能形成一套具破壞性、開放和透明的實務及語言，以推動業界發展。」
 
AI 技術對網路安全潛能無窮，因此這次轉變的重要性難以言喻。Sophos 的證據顯示，防禦的一方正面對越來越多的人為攻擊行為。攻擊者不斷提高入侵技術水準、使用高度情境化的商業電子郵件詐騙 (BEC) 活動，或是不斷開發更新的勒索軟體攻擊。面對這些不同類型的網路攻擊，我們需要 AI 技術支援才能開發出可擴展且高效率的防禦措施。開放和讓同儕檢視這些使用 AI 來應對安全威脅的案例，能夠刺激創新和突破，推動整個業界的發展。
 
Sophos 為以下四大重要領域提供資料集、工具和研究：
 
SOREL-20M 資料集加速惡意軟體偵測研究
SOREL-20M  是 SophosAI 與 ReversingLabs 之間的一個聯合專案，會產生一個具營運規模的資料集，其中包含 2000 萬個 Windows 可攜式執行檔 (PE) 所需的中繼資料 (metadata)、標記和功能。 該專案中亦包含一千萬個可下載的惡意軟體破解樣本，以供研究病毒特性之用，可促進整個網路安全的業界發展。SOREL-20M 是第一個可供大眾使用而具營運規模的惡意軟體研究資料集，包含一組已整理和標記的樣本以及安全性相關的中繼資料。
 
AI 支援的防冒充方法
SophosAI的防冒充技術可以防止魚叉式電子郵件釣魚攻擊。攻擊者會利用具影響力的人士身分，誘騙收件者採取某些行為令攻擊者受益。這項全新保護技術將電子郵件收件者的顯示名稱與高層主管的頭銜進行比對，因為高層主管身分很可能被用於欺騙性攻擊，例如財務長、執行長或總裁等，均是企業所獨有的資料。這項系統保護技術會將可疑電子郵件進行標記。Sophos 不斷利用數百萬封已經破解的攻擊電子郵件樣本為 AI 系統進行訓練。SophosAI 開放了這一個創新的保護方式，並已在 Defcon 28 和 Arxiv 論文中公開。
 
使用數位流行病學原理判斷未被偵測的惡意軟體
SophosAI 還建立了一套以流行病學為靈感的統計模型，用於評估整體惡意軟體的傳播率，因此Sophos能夠估計或有更高的機會發現 PE 檔案內的威脅。SophosAI 率先開發並向外公開這個方式，可以幫助確認惡性「暗物質」、遺失或被錯誤分類的惡意軟體，以及攻擊者正開發的「未來惡意軟體」。這個模型專為可擴展到其他類別的檔案和資料系統組件而設計，並已經在 Sophos 2021 網路威脅報告內詳細介紹。
 
YaraML 自動化特徵碼產生工具
使用特徵碼產生技術來偵測惡意軟體系列是一個辛苦的人工過程。研究人員多年來提出過多種自動化特徵碼產生方法，由於它們都不及人工方法有效，因此大多數尚未被採用。SophosAI 成功開發一種全新自動特徵碼產生方式，名為 YaraML，此項技術與過去的方法截然不同，採用以 AI 為基礎的方式解決了問題。SophosAI 直接將商業安全產品成熟且具實力的機器學習模型整合為特徵碼語言，從根本上允許 AI「編寫」特徵碼。事實證明，此方法有效得多，並且是業安全性的一項突破。 SophosAI 亦開放了 YaraML 的原始碼 。
 
以上四項均為 SophosAI 最新成果，它們不僅像新創企業般充滿創意，亦擁有接近十億美元的全球公司的智慧成果，包括 SophosLabs 和Sophos Managed Threat Response，以及數以千計客戶的知識資源。SophosAI 另一項優勢便是能夠將新技術直接新增到產品中。Sophos 可以透過這個模型快速回應市場需求、預測業界趨勢並提高開放度，以實現更大規模的網路安全業界合作與創新，這一點對發展防禦快速變動的攻擊者時極其重要。