12月17日消息,Sophos宣布了四项新的开放式人工智能发展,以帮助扩大和加强行业对网络攻击的防御,包括旨在推进行业协作和累积创新的数据集、工具和方法论。此举加速了Sophos的一个关键目标,即开放其数据科学的突破,并使人工智能在网络安全中的应用更加透明,所有这些都是为了更好地保护组织免受各种形式的网络犯罪。
"虽然在其他行业分享AI方法论和研究结果是一种常见的做法,但网络安全在这方面的努力已经滞后,造成了对AI如何真正提供保护以应对网络威胁的嘈杂理解,"Sophos说。
"Sophos及其SophosAI数据科学家团队正在催化这种朝着开放性的方向变化,以便IT经理、安全分析师、CFO、CEO和其他做出安全购买或管理决策的人,可以从一个公平和知情的竞争环境中讨论和评估AI的好处。"
Sophos首席技术官Joe Levy表示,随着SophosAI开放其研究的新举措,公司可以帮助影响人工智能在网络安全中的定位和讨论方式的前进。
"今天关于AI在解决方案中的能力或功效的不透明或戒备的说法的嘈杂,使得买家很难理解或验证这些说法,"他说。
"这导致了买家的怀疑,在我们开始看到巨大突破的时刻,对未来的进展造成了阻力。"
Levy表示,通过标准或监管等外部机制来纠正这种情况不会很快发生。
"相反,它需要我们社区内的基层努力和自我监督,以产生一套实践和语言,以颠覆性、开放和透明的方式推动行业发展,"他说。
"鉴于人工智能如何有利于网络安全的巨大潜力,很难夸大这种转变的关键性,"Levy说。
"Sophos的证据表明,防御者越来越多地面临人类对手,他们不断提升自己的游戏,发起高度情境化的商业电子邮件篡改(BEC)伪造活动,或无情地开发新的勒索软件攻击。
"针对这些和大多数其他类型的网络攻击的可扩展和有效的防御措施需要人工智能的协助。应用人工智能解决这些安全威胁的人之间的开放性和同行评议会刺激创新和发现,推动整个行业的发展。"
Sophos在四个重要领域提供数据集、工具和方法论:
加速恶意软件检测研究的SOREL-20M数据集
SOREL-20M是SophosAI和ReversingLabs的联合项目,是一个生产规模的数据集,包含2000万个Windows便携式可执行文件(PE)的元数据、标签和特征。它包括1000万个解除武装的恶意软件样本,可供下载,用于研究特征提取,以加速整个行业的安全改进。该数据集是第一个向公众提供的生产规模的恶意软件研究数据集,其中包含一组经过策划和标记的样本和安全相关的元数据。
AI驱动的模拟保护方法
SophosAIs 冒充保护旨在防止电子邮件鱼叉式钓鱼攻击,即冒充有影响力的人,欺骗收件人为攻击者的利益采取一些有害行动。这种新的保护措施将入站邮件的显示名称与在鱼叉式钓鱼攻击中最有可能被假冒的高级管理人员头衔进行比较,例如特定组织特有的首席执行官、首席财务官或总裁,并在这些邮件出现可疑时将其标记出来。Sophos已经对在幕后工作的人工智能进行了训练,其样本集有数百万封已知的攻击邮件。SophosAI已经开放了这种创新的新保护方法,它还在Defcon 28和Arxiv论文中公开讨论了这种方法。
数字流行病学确定未检测到的恶意软件
SophosAI还建立了一套流行病学启发的统计模型,用于估计恶意软件感染的总流行率,这使得Sophos能够估计,进而能够更好地在PE文件大海里找到针头。SophosAI开创并公开了这种方法,它有助于确定恶意暗物质、可能被遗漏或错误分类的恶意软件,以及攻击者正在开发的未来恶意软件。该模型被设计为可扩展到其他类别的文件和信息系统工件,Sophos 2021威胁报告中也有讨论。
YaraML自动签名生成工具
检测恶意软件家族的签名生成是一个繁琐的手工过程。多年来,研究人员提出了各种自动签名生成方法,其中大多数方法都没有被采用,因为它们的性能低于人工方法。SophosAI开发了一种新的自动签名生成方法,名为YaraML,通过采取基于人工智能的方法来解决这个问题,与之前的方案有很大的不同。SophosAI直接将成熟的、具有工业实力的机器学习模型(即商业安全产品中使用的模型)编译成签名语言,本质上是让人工智能来编写签名。事实证明,这比以前的方法要有效得多,是安全社区的一个突破。SophosAI已经将YaraML开源。
"这四项进步是SophosAI的最新成果,它的工作方式创造性地像一个初创孵化器,但却拥有一家近十亿美元的全球性公司的智力资源,包括SophosLabs、Sophos管理式威胁响应和数十万客户。"Levy说。
"另一个优势是,SophosAI可以将新技术直接添加到出货产品中。这种模式使Sophos能够对市场需求做出快速反应,预测行业必须走向何方,并推进开放性,以加强网络安全行业的合作和创新,所有这些在开发防御快速移动的对手时都是必不可少的。"
