熱門文章
真相揭秘:網絡安全領域的AI原來是這樣!
發布時間:2018-12-04 分類:趨勢研究
我們在安全產品宣傳中聽到的許多關于人工智能和機器學習的內容大部分都是為了營銷,外人很難從中知道這些工具的真實能力。以下我們將為大家詳細介紹一下目前安全領域中人工智能和機器學習的狀態。
我們在安全產品宣傳中聽到的許多關于人工智能和機器學習的內容大部分都是為了營銷,外人很難從中知道這些工具的真實能力。以下我們將為大家詳細介紹一下目前安全領域中人工智能和機器學習的狀態。
讓我們從破除最常見的誤解開始:企業安全軟件中幾乎沒有整合真正的人工智能(AI)。事實上,人工智能這個術語經常被提及的原因在大程度上與營銷有關,反而跟技術本身沒有什么關系。純粹的人工智能主要是復制認知能力。
也就是說,作為人工智能眾多子領域之一的機器學習(ML)反倒是被整合到了一些安全軟件當中。但即便是機器學習這個術語,人們的態度也有些過于樂觀。目前,機器學習在安全軟件中的使用方式更像上世紀80年代和90年代基于規則的“專家系統”,而非真正的人工智能。如果你曾經使用過貝葉斯垃圾郵件過濾算法,并使用過數以千計的已知垃圾郵件和成千上萬條已知的非電子郵件對其進行訓練,那么你可能會對機器學習的工作原理有一定的了解。在大多數情況下,它們無法進行自我訓練,需要進行包括編程在內的人工干預以更新訓練內容。由于安全領域中存在著很多的變量和數據點,因此不斷訓練最新的內容并讓其行之有效是一項艱巨的挑戰。
盡管如此,當機器學習使用來自環境的大量數據進行訓練,尤其是環境中的使用者清楚自己的目標,那么機器學習可以變得非常有效。雖然復雜的系統也是有可能的,但是相比廣泛的任務,機器學習在更具針對性的任務或任務集中表現的更為優異。
IDC全球安全產品研究主管Chris Kissel表示,機器學習的優勢之一是異常檢測,這是用戶和實體行為分析(UEBA)的基礎。他表示:“UEBA功能的定義為確定指定設備的收發行為是否異常?!盪EBA生來就非常適用于許多重大網絡安全防御行為。
在機器學習系統得到充分且良好的訓練后,大多數情況下就已經完成了對已知良性事件的定義。這使威脅情報或安全監控系統可以專注于識別異常情況。如果供應商僅使用自己的通用數據對系統進行訓練,那么會發生什么情況?如果機器學習沒有足夠多的事件進行訓練呢?亦或是用于訓練的事件中充斥著沒有經過識別的極值,并且這些極值還不幸成為了背景噪音中的一部分呢?用戶可能會被企業威脅檢測軟件無休止的誤報而困擾。如果沒有對機器學習系統進行持續的訓練,那么你將無法享受到機器學習的真正優勢。隨著時間的流逝,系統的使用效果將越來越差。
除了上述之外,機器學習還可以簡化流程并為安全運營中心(SOC)人員提供建議。這些都展現了以更為強大的人工智能為基礎的系統將具有光明前景。以下是它們正在發揮作用的領域。
針對企業安全的9大機器學習使用案例
1.檢測并阻止正在實施的網絡攻擊。我們無法在攻擊發生之前及時關閉入侵的漏洞,至少現在還沒有這種能力,但是機器學習或許能夠在用戶之前發現入侵跡象,然后建議采取可能的行動。Redware安全研究員Pascal Geenens說:“我們可以使用機器學習來檢測未知的DDoS攻擊的嚴重程度。與此同時,機器學習還可以提取攻擊流量的特征,并自動生成用于阻止攻擊的簽名?!?
2.威脅情報。機器學習擅長分析海量數據,并對其發現的行為進行分類。當它們發現了異常情況后會及時提醒分析人員。機器學習還是快速篩查海量數據的利器,極大地提升了系統的數據分析能力。飽和攻擊是不法分子常用的戰術,應對這類攻擊往往都是說起來容易做起來難,然而威脅檢測系統越具實時性應對措施就越有效。
3.識別現有漏洞、確定優先級并幫助修復。這些應該是所有企業的經常性工作,但是如果有套可靠的機器學習系統每天都幫助你執行這些操作,那么企業安全中最大的問題,即未修復的漏洞可能就不再那么受關注了。
4.安全監控指跟蹤與網絡流量、內部與外部行為、數據訪問以及各種功能和活動有關的信息的過程。在合理編程后,機器學習將有能力通過處理龐大的數據池來查找異常情況,因此機器學習很可能是最適合處理各種產品生成的日志文件和錯誤消息的技術。
5.檢測勒索軟件等惡意軟件。勒索軟件家族正在日益發壯大,而機器學習可能是目前我們手中唯一可用于對抗它們的工具,因為通過檢測勒索軟件之前用過的簽名的方式已經無法跟上形勢變化。在追查勒索軟件中,檢測異常行為能力已經收到了良好的效果。
6.審查代碼以查找漏洞。DevSecOps中的一句格言是“安全性也是代碼”。顯然,開發人員需要知道如何從安全角度編寫代碼,不過如今機器學習已經可自動分析代碼查找常見的漏洞和弱點。事實上,它或許可以成為一種培訓新開發人員的工具。
7.數據分類。為符合數據隱私和數據保護法規的要求,我們應當清楚需要保護的數據的特征。機器學習可用于掃描新導入或新生成的數據并對其敏感性進行分類,以便系統能夠以其需要的方式保護它們。
8.蜜罐。在這個特定的領域中,更接近真正人工智能的深度學習可與目前的威脅自動緩解技術聯合使用。Geenens認為:“通過在互聯網上的企業網絡中部署蜜罐,我們能夠收集大量數據,如果其中的數據是惡意的,我們會對其進行標記。不幸的是,經由蜜罐檢測到的所有事件或流量實例全部是惡意的。如果我們有足夠的蜜罐和數據,那么深度神經網絡將能夠創建一個可精準檢測出攻擊行為的模型?!?
9.預測并適應未來的威脅。一些企業目前正在研究預測性安全分析技術。目前該技術已經展現出了一些商業智能前景。這種類似的機器學習技術能否被用來預測未來可能存在的漏洞和缺陷呢?現在還尚無定論。
探究真相
一些專家認為,目前根本沒有任何基于人工智能的產品。這種說法可能有些過于武斷。人工智能可以作為一個總稱,用來表示一系列廣泛的技術,這其中包括技術層面上并不屬于人工智能的機器學習技術。在最嚴格的意義上,人工智能指具有認知能力的計算機系統。Domo的CISO和SVP信任與安全部門的Niall Browne并不信任目前“基于人工智能”的安全產品。他說:“人工智能具有巨大的潛力,并將在未來的安全領域中發揮關鍵作用。盡管如此,卻很少有人在企業安全中持續部署人工智能?!?不過,他也承認機器學習確實具備安全用途。
Browne并不是唯一對一些安全產品炒作人工智能概念感到厭煩的人,他的態度得到了一些人的支持。
GreyCastle Security首席執行官Reg Harnish對此總結道:“今天,許多聲稱自己的產品具備人工智能功能的軟件供應商不是想辦法使產品具備智能而是故意曲解原有規則?!?那么CSO/CISO應當如何問詢安全產品供應商,才能避免被機器學習的虛假宣傳所坑騙呢?
Delphi創始人兼云存儲初創公司Wasabi顧問Tom Koulopoulos指出,“首先要問的一個關鍵問題是:它們是如何學習的?因為你需要了解訓練機器學習或人工智能的具體機制。其次要分別需要多少數據?再訓練的頻率是多少?與算法的協作機制是什么?人類怎么給它們打分?機器學習或人工智能使用的是存檔的數據集還是在線數據?”
作為IEEE成員的Integral Partners公司信息安全主管Kayne McGladrey給出了如下建議,“首先要在實驗室內的用戶環境復制品中對基于人工智能的安全解決方案展開評估。然后聘請一個聲譽良好的團隊模擬現實中的黑客反復嘗試突破這一環境?!?
總結
安全部門開發出了新的保護措施,網絡犯罪分子就開始千方百計地企圖突破它們。人工智能將會以極快的速度提升企業的防護能力。想象一下,全球的智能犯罪系統每時每刻都在試圖入侵銀行、醫院和能源公司。當然,這些企業和公司中的人工智能系統也在時刻不停地進行工作,以阻止這些網絡犯罪分子。這些都是人工智能在未來需要面對的挑戰和機遇。
作者:Scot Finnie 曾擔任Computerworld主編,目前為自由撰稿人,擁有數十年的IT從業經驗。