AI / ML提升Cato Networks SASE中的資安偵測和資產管理

近年來隨著運算能力的提升，人工智慧 (AI) 和機器學習 (ML) 的技術在增強CATO的SASE安全和網路功能、實現進階威脅預防和高效資產管理方面發揮關鍵作用。讓我們聊聊這對於CATO SASE有何幫助?

什麼是人工智慧 (AI)、機器學習 (ML) 和深度學習 (DL)？

在深入探討 CATO 的 AI、ML 和 DL 方法的細節之前，我們先提供一些這些技術的背景資訊。人工智慧是創造機器(creating machines)的總體概念，這些機器可以執行通常需要人類智慧的任務，例如學習、推理、解決問題、理解自然語言和感知。人工智慧應用的一個例子是醫療保健，人工智慧驅動的系統可以幫助醫生診斷疾病或推薦個人化治療計劃。
機器學習(ML)是人工智慧的一個子集合，專注於開發根據數據學習和預測的演算法。這些演算法識別資料集中的模式和關係，使系統無需明確排程即可做出以資料為主的決策。機器學習應用的一個例子是金融領域，其中演算法用於信用評等、詐欺檢測和交易演算法，以優化投資策略和風險管理。
而深度學習 (DL) 是 ML 的一個子集合，利用人工神經網路來處理資料並模仿人腦的決策能力。這些網路由多個交互連接層組成，能夠從大量資料中提取更高層級的特徵和模式。深度學習的常見應用是自動駕駛車輛，其中複雜的影像辨識演算法使車輛能夠偵測交通標誌、行人和其他障礙物並做出適當的回應，以確保安全駕駛。

如何克服實施 AI / ML 進行即時網路安全監控的挑戰 ?

為CATO 客戶實施深度學習DL和機器學習ML面臨多項挑戰。 CATO 每天處理和監控數 TB 的客戶網路流量。處理如此多的數據需要大量的運算能力。將錯誤標記網路活動為攻擊可能會對客戶的維運產生重大影響，因此我們的演算法必須非常準確。同時，必須不干擾使用者的體驗，因此只留下幾毫秒的時間來執行即時推理。
在CATO的雲端基礎架構上運行的深度學習和機器學習演算法來應對這些挑戰；在雲端中運行使我們能夠利用雲端無所不在的運算和儲存能力。此外，CATO也運用了雲端基礎架構的優勢，如AWS SageMaker。 SageMaker這是原生雲端的平台，提供整套完整用於大規模建置、訓練和部署機器學習模型的工具和服務。而最後，CATO的資料池(data pool)提供了豐富的資料集，將網路元數據與資訊安全融合在一起，這些豐富的資訊可用在訓練演算法擁有更好的回應。
藉由這些技術，我們成功部署及優化了機器學習演算法，精確降低了與錯誤標記網路活動相關的風險，並確保了即時性的推斷。CATO演算法，即時監控網路流量，同時保持低誤報率和高偵測率。

CATO 如何使用深度學習來增強威脅檢測和預防

CATO 使用深度學習(DL)技術，利用人工智慧的來增強威脅檢測和預防的有效性，從而增強網路安全並保護用戶免受各種不斷變化的網路風險的影響。DL在 CATO SASE Cloud 中以多種不同的方式使用。
例如，我們透過在 CATO IPS 中整合深度學習模型來使用 DL 進行 DNS 保護，以偵測來源自網域產生演算法 (DGA)網域的命令與控制 (C&C) 通訊以及DNS通道。透過大量網路流量上內聯運行這些模型，CATO Networks可有效識別和減緩與惡意通訊通道相關的威脅，從而在幾毫秒內即時防止未經授權的存取和資料外洩。
另外，我們透過文字和圖像分析來阻止網路釣魚嘗試，方法是偵測流向聲譽較低知名品牌以及與網路釣魚嘗試相關的新註冊網站的流量。透過在大量資訊和視覺內容資料集上訓練模型，CATO Networks可以快速識別潛在的網路釣魚網站，保護使用者避免遭到利用對知名品牌信任的受害者。
我們還透過機器學習對事件進行優先排序以增強安全性。 CATO 使用網路活動的聚合和經典的ML隨機森林演算法(Random Forest)來識別攻擊模式，使資安分析師能夠根據模型評分專注於高優等級事件。
優先模型考慮使用者端群組特徵、時間相關指標、MITRE ATT&CK 框架、伺服器IP地理位置和網路功能；透過評估這些不同的因素，這個模型提高了事件回應效率，簡化了流程，並確保客戶網路的安全和抵禦新威脅的能力。
最後，我們利用機器學習和叢集來增強威脅預測。利用集體智慧的力量來預測新事件的風險和威脅類型。我們對先前處理的安全事件採用了先進的機器學習技術，例如聚類和類似樸素貝葉斯(Naive Bayes classifier)的演算法。這類採取數據的方法使用根據取證的事件之間的距離度量，使我們能夠識別事件之間的相似性。然後，我們可以識別具有相似網路屬性的新事件，以準確預測風險和威脅。

CATO 如何在資產視覺性和風險評估中使用人工智慧和機器學習

除了使用機器學習進行威脅偵測和預防之外，我們還利用人工智慧和機器學習來識別和評估連接到 CATO 的資產的風險。作業系統和設備類型對於風險評估相當重要，因為它使單位能夠深入了解資產狀況並根據每個資產的獨特特徵和漏洞實施量身定制的資安策略。
CATO 透過檢查來自客戶端設備應用程式和軟體的流量來評估設備的風險。此方法適用於連接到網路的所有裝置。透過利用強大的 AI/ML 演算法，CATO 持續監控設備行為並識別與過時的軟體版本和有風險的應用程式相關的潛在漏洞。
對於作業系統類型偵測，CATO 的 AI/ML 功能可以準確識別連接到網路的無代理裝置的作業系統類型。這些資訊提供了有關單一設備安全狀況的了解，並使單位能夠實施針對不同作業系統量身定制的適當資安策略，進一步加強整體網路安全。

資料來源：Cato官網