信息化觀察網(wǎng)

本文將探討如何將人工智能(AI)和機(jī)器學(xué)習(xí)(ML)整合到網(wǎng)絡(luò)安全當(dāng)中。

隨著網(wǎng)絡(luò)攻擊在性質(zhì)和目標(biāo)上變得越來越多樣化，網(wǎng)絡(luò)安全人員是否有正確的可見性來確定如何解決漏洞是至關(guān)重要的，而人工智能將可以幫助提出人類無法單獨(dú)解決的問題。

“網(wǎng)絡(luò)安全就像是一盤國際象棋，”Palo Alto網(wǎng)絡(luò)公司的EMEA首席安全官Greg Day表示。“對手試圖擊敗受害者，而受害者則旨在阻止對手的攻擊。數(shù)據(jù)是王者，也是最終的獎品。”

“1996年，人工智能國際象棋系統(tǒng)“深藍(lán)”在第一場比賽中擊敗了世界冠軍Garry Kasparov。很明顯，人工智能可以通過編程的方式在規(guī)范之外進(jìn)行更廣泛、更快和更遠(yuǎn)的思考，而現(xiàn)在它在網(wǎng)絡(luò)安全領(lǐng)域的許多應(yīng)用也是如此。”

有鑒于此，我們探索了人工智能在當(dāng)今網(wǎng)絡(luò)安全中的特殊使用案例。

與員工一起工作

Day接著詳述了人工智能是如何與網(wǎng)絡(luò)安全人員合作，以確保組織安全的。

“我們都知道市場上沒有足夠的網(wǎng)絡(luò)安全人員，所以人工智能可以幫助填補(bǔ)這一空白，”他表示。機(jī)器學(xué)習(xí)是人工智能的一種形式，它可以讀取SoC分析師的輸入，并將其轉(zhuǎn)置到一個不斷擴(kuò)大的數(shù)據(jù)庫當(dāng)中。

“下一次，當(dāng)SoC分析員輸入類似的癥狀時，他們就會根據(jù)統(tǒng)計分析和神經(jīng)網(wǎng)絡(luò)的使用，給出以前類似的案例和解決方案，從而減少人力投入。

“如果沒有以前的案例，人工智能也可以分析事件的特征，并根據(jù)過去的經(jīng)驗，建議哪個SoC工程師是解決問題的最強(qiáng)人選。

“所有這些實(shí)際上都是一個機(jī)器人，一個將人類知識與數(shù)字學(xué)習(xí)相結(jié)合的自動化過程，以提供一種更有效的混合解決方案。”

對抗機(jī)器人

Netacea數(shù)據(jù)科學(xué)主管Mark Greenwood研究了機(jī)器人在網(wǎng)絡(luò)安全中的好處，并強(qiáng)調(diào)了企業(yè)必須能夠區(qū)分好的和壞的。

“如今，機(jī)器人占據(jù)了互聯(lián)網(wǎng)流量的絕大部分，”Greenwood解釋說。“而且大多數(shù)都是危險的。從使用竊取的憑證進(jìn)行賬戶收購，到創(chuàng)建虛假賬戶和欺詐，它們構(gòu)成了真正的網(wǎng)絡(luò)安全威脅。

“但是企業(yè)無法僅僅依靠人類的反應(yīng)來對抗自動化的威脅。如果他們真的想解決“機(jī)器人問題”，他們就必須使用人工智能和機(jī)器學(xué)習(xí)。為什么?因為要真正區(qū)分好的機(jī)器人(比如搜索引擎抓取器)、壞的機(jī)器人和人類，企業(yè)就必須利用人工智能和機(jī)器學(xué)習(xí)來全面了解自己的網(wǎng)站流量。

“攝取和分析大量數(shù)據(jù)是必要的，而人工智能能夠使這成為可能，而采用機(jī)器學(xué)習(xí)方法將使網(wǎng)絡(luò)安全團(tuán)隊能夠調(diào)整他們的技術(shù)，以適應(yīng)不斷變化的環(huán)境。”

“通過觀察用戶的行為模式，企業(yè)將得到以下問題的答案：‘普通用戶的旅程是什么樣的’和‘不尋常的冒險旅程是什么樣的’。從這里，我們可以了解他們網(wǎng)站流量的意圖，讓他們領(lǐng)先于那些壞的機(jī)器人。”

端點(diǎn)保護(hù)

SolarWinds負(fù)責(zé)安全架構(gòu)的副總裁Tim Brown在考慮可以從該技術(shù)獲益的網(wǎng)絡(luò)安全的某些方面時表示，人工智能也可以在保護(hù)端點(diǎn)方面發(fā)揮作用。隨著用于工作的遠(yuǎn)程設(shè)備數(shù)量的增加，這一點(diǎn)將變得越來越重要。

“通過遵循最佳實(shí)踐建議并及時更新補(bǔ)丁和其他更新，一個組織可以及時的做出反應(yīng)，抵御威脅，”Brown說。“而且人工智能也可能會給IT和安全專業(yè)人士帶來一個對抗網(wǎng)絡(luò)犯罪的優(yōu)勢。”

反病毒(AV)與人工智能驅(qū)動的端點(diǎn)保護(hù)就是這樣的一個例子;AV解決方案通常是基于簽名來工作的，因此有必要及時跟上簽名定義，以保持對最新威脅的保護(hù)。這的確會是一個問題，如果病毒定義落后了，要么是因為更新失敗，要么是因為病毒供應(yīng)商缺乏知識。如果一個新的，以前沒有出現(xiàn)過的勒索軟件被用來攻擊一家企業(yè)，簽名保護(hù)將無法捕捉到它。

人工智能驅(qū)動的端點(diǎn)保護(hù)采取了不同的策略，通過反復(fù)的培訓(xùn)過程為端點(diǎn)建立了行為基線。如果發(fā)生異常情況，人工智能就可以標(biāo)記它并采取行動--無論是向技術(shù)人員發(fā)送通知，還是在勒索軟件攻擊后恢復(fù)到安全狀態(tài)。這也提供了針對威脅的主動預(yù)防性保護(hù)，而不是等待簽名的更新。

“人工智能模式已經(jīng)被證明了會比傳統(tǒng)的AV更為有效。對于許多由MSP服務(wù)的中小型公司來說，人工智能驅(qū)動的端點(diǎn)保護(hù)的成本通常只適用于少量設(shè)備，因此沒有引起太多關(guān)注。另一個需要考慮的事情是感染后的清理成本--如果人工智能驅(qū)動的解決方案有助于避免潛在的感染，那么它也可以通過避免清理成本來為自己買單，從而創(chuàng)造更高的客戶滿意度。”

機(jī)器學(xué)習(xí)和短信詐騙

隨著越來越多的員工開始在家工作，并且可能更頻繁地使用個人設(shè)備來完成任務(wù)并與同事合作，警惕短信中可能存在的欺詐行為是很重要的。

“由于惡意行為者的攻擊載體的多樣化，包括使用Covid-19來作為短信釣魚詐騙的誘餌，組織正面臨著加強(qiáng)防御的巨大壓力，”MobileIron負(fù)責(zé)產(chǎn)品管理的高級副總裁Brian Foster表示。

“為了保護(hù)設(shè)備和數(shù)據(jù)免受這些高級攻擊，機(jī)器學(xué)習(xí)在移動威脅防御(MTD)和其他形式的托管威脅檢測方面的使用將繼續(xù)發(fā)展成為一種高效的安全方法。”

“可以對機(jī)器學(xué)習(xí)模型進(jìn)行培訓(xùn)，以立即識別和防范潛在的有害活動，包括其他解決方案無法及時檢測到的未知威脅和零日威脅。同樣重要的是，當(dāng)通過統(tǒng)一端點(diǎn)管理(UEM)平臺部署基于機(jī)器學(xué)習(xí)的MTD時，它還可以增強(qiáng)UEM所提供的基礎(chǔ)安全性，以支持分層的企業(yè)移動安全策略。

“機(jī)器學(xué)習(xí)是一項強(qiáng)大而又不引人注目的技術(shù)，它可以隨著時間的推移不斷監(jiān)控應(yīng)用程序和用戶行為，從而識別出正常和異常行為之間的區(qū)別。”有針對性的攻擊通常會在設(shè)備上產(chǎn)生一個非常微妙的變化，而人類的分析人員是看不到這些變化的。有時，只有通過機(jī)器學(xué)習(xí)將數(shù)千個設(shè)備參數(shù)關(guān)聯(lián)起來，才能對其進(jìn)行檢測。”

要克服的障礙

這些用例和更多的例子證明了人工智能和網(wǎng)絡(luò)安全人員有效結(jié)合的可行性。然而，Panaseer的產(chǎn)品副總裁Mike MacIntyre認(rèn)為，要想真正的實(shí)現(xiàn)這一目標(biāo)，該領(lǐng)域仍有許多障礙需要克服。

“人工智能當(dāng)然有很多前景，但作為一個行業(yè)，我們必須清楚，它目前還不是緩解所有網(wǎng)絡(luò)安全挑戰(zhàn)和解決技能短缺的靈丹妙藥，”MacIntyre表示。這是因為人工智能目前只是一個用于機(jī)器學(xué)習(xí)技術(shù)小子集的術(shù)語。很多關(guān)于人工智能的炒作都是來自于企業(yè)安全產(chǎn)品是如何采用這個術(shù)語的，以及對人工智能所構(gòu)成的誤解(有意或無意)。

“嵌入在許多現(xiàn)代安全產(chǎn)品中的算法最多只能被稱為狹義或弱人工智能;他們在單一、狹窄的領(lǐng)域中執(zhí)行著高度專業(yè)化的任務(wù)，并接受過針對單一領(lǐng)域的大量數(shù)據(jù)的訓(xùn)練。這與一般或強(qiáng)人工智能相去甚遠(yuǎn)，而后者是一種可以執(zhí)行任何一般性任務(wù)并跨多個領(lǐng)域回答問題的系統(tǒng)。誰也不知道這樣一個系統(tǒng)還有多遠(yuǎn)(從下一個十年到永遠(yuǎn)都不會有爭議)，但是沒有一個CISO應(yīng)該把這樣一個工具納入到他們的3-5年戰(zhàn)略之中。

“另一個阻礙人工智能有效性的關(guān)鍵障礙是數(shù)據(jù)完整性的問題。如果你不能訪問相關(guān)的數(shù)據(jù)，或者不愿意在網(wǎng)絡(luò)上安裝一些東西，那么部署一個人工智能產(chǎn)品就是沒有意義的。安全的未來一定是數(shù)據(jù)驅(qū)動的，但人工智能產(chǎn)品想要實(shí)現(xiàn)它們的營銷宣傳承諾，還有很長的一段路要走。”