生物免疫模型是网络安全的终极出路？

近年来，网络安全领域的发展可谓日新月异，却也更痛苦不堪。黑客和攻击技术比以往更狡猾，越来越多的组织遭遇泄密和故障事件。据了解，全球网络犯罪案值已达到1万亿美元，仅在过去两年就猛增50%。媒体每天都在报道新的勒索软件攻击或其他事件。劳伦斯伯克利国家实验室的计算研究员Steven Hofmeyr表示，依赖病毒特征的传统网络安全方法越来越没有效果。

业界对运用生物免疫模型来保护数据和系统重新产生了兴趣。这个概念至少可以追溯到2000年代初，借鉴了自然界的概念(包括人类免疫反应和疫苗模型)以加强对网络的保护。一些供应商利用算法和端点监控技术以识别和防范攻击者，并在该领域大力开发产品。咨询服务机构ESG的实验室高级工程师Tony Palmer指出，确定性保护(deterministic protection)并非灵丹妙药，但它有助于缩小暴露的攻击面，无需依赖特征、调整或学习。

重新思考网络安全保护

基于生物免疫模型的安全工具将白名单、黑名单及其他常规检测方法换成了实时发现异常的框架。就像人体使用抗体、T细胞及其他机制对外来因子做出反应，计算机网络试图及早消灭入侵活动，以免入侵扩散、造成任何破坏。

Gartner研究主任Eric Ahlm表示，通过人工智能和机器学习引入生物元素这个想法很诱人，这个概念的几个要素正出现在名为扩展检测和响应(EDR)的端点软件中。网络安全中的信噪比非常高，使用人工智能和机器学习来识别不清楚的信号这项能力极其重要。

基于生物免疫模型的安全并不取代其他安全工具，而是起到相辅相成的作用，因为它们可以发现经常不被注意的攻击。Palmer表示，相比试图将每个潜在威胁列入黑名单，及/或关注可能不断变化和发展的更高级系统行为，基于对应用程序及其工作负载的深入了解，实施好的、允许的操作要明智得多。

越来越多的企业引入生物免疫模型

越来越多的企业正引入生物免疫模型来加强保护。例如，网络安全公司Virsec旨在使用户远离勒索软件、远程代码执行、供应链中毒和基于内存的攻击。Virsec首席执行官Dave Furneaux表示，公司花在解决方案上的钱越来越多，却看不到任何成效，如果我们要改变保护资产的方式，就需要采取全然不同的方法。

Furneaux将基于生物免疫模型的保护方法比作疫苗制造商Moderna和辉瑞使用的mRNA技术。该方法径直深入到软件最低层的构建模块(好比人体细胞)，以保护整个系统。只有了解了RNA和DNA，才能开发出效果等同于疫苗的产品。

其他网络安全供应商也开发出了某种程度上依赖生物免疫模型的产品，包括Darktrace、Vectra AI和BlackBerry Cybersecurity。例如，Darktrace使用一种算法，不断精细化地监控和分析网络。它建立了正常活动模型，一旦程序获得从威胁中分离出干扰信号的能力，就会将问题标注出来;如果检测到可疑行为，它还能自动关闭访问敏感信息的途径。

生物免疫模型未来可期

目前，生物免疫模型仍处于起步阶段，这类安全产品有其局限性。比如，Virsec的相关产品位于服务器端，不支持微隔离或将保护机制扩展到物联网。此外，任何专注于端点数据的产品(无论分析多到位)仍看不太清某些类型的攻击。Ahlm补充道，我们也不能保证网络犯罪分子不会调整方法、找到闯入这些系统的途径。

不过，该领域正初具规模。可以预见，确定性方法可能会扩展到服务器工作负载之外的对象，以保护整个架构上众多设备中运行的代码。这种框架不仅可以大大减少警报和误报，最终还可以取代多种不同的工具，从而简化安全架构和部署模式。

最后，也许只有一点是肯定的：就像生物界一样，网络安全界是复杂而混乱的领域。Hofmeyr指出，人类免疫系统不是严格设计的，它们必须不断适应。将这一理念应用于网络安全领域可能会带来改进。基于特征的传统安全技术不再足够有效，多态恶意软件和更复杂的攻击已迫使组织需要一种更动态、更先进的框架。

参考链接：

https://www.darkreading.com/the-cyber-future/does-biology-hold-the-clue-to-better-cybersecurity-?_sp=a94d2f95-825f-49f0-8b4a-e96ddf388e1f.1644905991153