創科廣場｜AI保安擴至終端設備應付邊緣運算用戶分散

不少傳統的網絡保安工具，只能透過規則和病毒識別碼，偵測已知的攻擊活動，「零日攻擊」增加，識別碼又無法辦別勒索軟件，傳統工具的缺點，也更加明顯。

英國的Darktrace率先以人工智能，應用在網絡保安偵察和保護，毋須依靠特定規則或病毒識別碼（Signature）就可識別出網絡攻擊，網絡保安行業異軍突起。Darktrace特點在於以無監督機器學習和深度學習，為運行用戶和系統學習正常「行為模式」，以識別指向網絡威脅的細微偏差，以AI偵察活動異常。

Darktrace推出Antigena AI Response技術，先以Cyber AI不斷了解和學習內部行為模式，即時針對具體發生的情況，執行適切的防禦手段，Cyber AI機器學習不斷自我；無論攻擊如何出現、都快速作欄截，並稱為自動反應技術（Autonomous Response technology）功能，Darktrace較其他方案更易部署，成為近年最矚目的網絡保安方案。

不過，Darktrace一直無法保護終端的設備，而企業活動愈趨分散，須靠其他廠商的產品。Darktrace推出以擴展至終端設備的Antigena Endpoint，完善Antigena產品系列，可以幅蓋SaaS、雲端運算、電郵系統、網絡，以至OT工業環境等各種場景。

疫情爆發以後，如何保護終端設備，愈來愈關鍵，居家工作、AI、5G技術興起，促使邊緣運算活動增加，終端設備移至企業範圍以外，無法受防火牆保護和監察，另一方面終端設備處理的敏感數據又愈來愈多。加上家居工作，以至疫症後爆發的「辭職潮」，終端攻擊增加，不少網絡保安團隊，更窮於應對。

可微調終端設備設定

員工工作方式變化，數據和設備更加分散，理論上更難監察，Antigena Endpoint同樣是透過以深度學習，不斷蒐集員工的工作模式，不斷評估終端設備的各種活動作評估，通過微調終端設備的設定，力求在不妨礙正常工作下，攔截可能發生的網絡威脅。

Antigena Endpoint功能是先檢測終端設備的異常活動，根據異常做出各種微細的調整，例如發現了異常的初始檔下載和嘗試竊取數據，以至有可能是攻擊指令、流量控制或數據橫向移動，就以各種手段中斷，並且可保護Mac，Windows和Linux系統，以防止數據泄漏，勒索軟件攻擊和來自內部的威脅。

Antigena通過AI對照各種背景資料，也可對攻擊有更全盤的理解，有助作更準確的防禦和反應。Antigena電子郵件防禦工具和終端工具，通過對電子郵件的新寄件者和預期寄件者進行更細緻了解，可提高回應攻擊的準確性。

當用戶收到來自新寄件者郵件，要求執行某項銀行交易，系統只以為可能事有蹺蹊；如果從終端設備偵查的網站，又從未有與企業有活動歷史，背景資訊就有助系統，確定事件屬於攻擊，有充分理據作防禦反應。

Darktrace全球員工超過1,700名，全球設30多個辦公室，總部設於英國的劍橋。Darktrace創辦人包括了英國軍情五處前情報員以及英國數學家，全球客戶超過6,500名。