讓我們從破除最常見的誤解開始:企業安全軟件中幾乎沒有整合真正的人工智能(AI)。事實上,人工智能這個術語經常被提及的原因在大程度上與營銷有關,反而跟技術本身沒有什麼關系。純粹的人工智能主要是複制認知能力。
也就是說,作為人工智能衆多子領域之一的機器學習(ML)反倒是被整合到了一些安全軟件當中。但即便是機器學習這個術語,人們的态度也有些過于樂觀。目前,機器學習在安全軟件中的使用方式更像上世紀80年代和90年代基于規則的“專家系統”,而非真正的人工智能。如果你曾經使用過貝葉斯垃圾郵件過濾算法,并使用過數以千計的已知垃圾郵件和成千上萬條已知的非電子郵件對其進行訓練,那麼你可能會對機器學習的工作原理有一定的了解。在大多數情況下,它們無法進行自我訓練,需要進行包括編程在内的人工幹預以更新訓練内容。由于安全領域中存在着很多的變量和數據點,因此不斷訓練最新的内容并讓其行之有效是一項艱巨的挑戰。
盡管如此,當機器學習使用來自環境的大量數據進行訓練,尤其是環境中的使用者清楚自己的目标,那麼機器學習可以變得非常有效。雖然複雜的系統也是有可能的,但是相比廣泛的任務,機器學習在更具針對性的任務或任務集中表現的更為優異。
IDC全球安全産品研究主管ChrisKissel表示,機器學習的優勢之一是異常檢測,這是用戶和實體行為分析(UEBA)的基礎。他表示:“UEBA功能的定義為确定指定設備的收發行為是否異常。”UEBA生來就非常适用于許多重大網絡安全防禦行為。
在機器學習系統得到充分且良好的訓練後,大多數情況下就已經完成了對已知良性事件的定義。這使威脅情報或安全監控系統可以專注于識别異常情況。如果供應商僅使用自己的通用數據對系統進行訓練,那麼會發生什麼情況?如果機器學習沒有足夠多的事件進行訓練呢?亦或是用于訓練的事件中充斥着沒有經過識别的極值,并且這些極值還不幸成為了背景噪音中的一部分呢?用戶可能會被企業威脅檢測軟件無休止的誤報而困擾。如果沒有對機器學習系統進行持續的訓練,那麼你将無法享受到機器學習的真正優勢。随着時間的流逝,系統的使用效果将越來越差。
除了上述之外,機器學習還可以簡化流程并為安全運營中心(SOC)人員提供建議。這些都展現了以更為強大的人工智能為基礎的系統将具有光明前景。以下是它們正在發揮作用的領域。
針對企業安全的9大機器學習使用案例
1.檢測并阻止正在實施的網絡攻擊。我們無法在攻擊發生之前及時關閉入侵的漏洞,至少現在還沒有這種能力,但是機器學習或許能夠在用戶之前發現入侵迹象,然後建議采取可能的行動。Redware安全研究員PascalGeenens說:“我們可以使用機器學習來檢測未知的DDoS攻擊的嚴重程度。與此同時,機器學習還可以提取攻擊流量的特征,并自動生成用于阻止攻擊的簽名。”
2.威脅情報。機器學習擅長分析海量數據,并對其發現的行為進行分類。當它們發現了異常情況後會及時提醒分析人員。機器學習還是快速篩查海量數據的利器,極大地提升了系統的數據分析能力。飽和攻擊是不法分子常用的戰術,應對這類攻擊往往都是說起來容易做起來難,然而威脅檢測系統越具實時性應對措施就越有效。
3.識别現有漏洞、确定優先級并幫助修複。這些應該是所有企業的經常性工作,但是如果有套可靠的機器學習系統每天都幫助你執行這些操作,那麼企業安全中最大的問題,即未修複的漏洞可能就不再那麼受關注了。
4.安全監控指跟蹤與網絡流量、内部與外部行為、數據訪問以及各種功能和活動有關的信息的過程。在合理編程後,機器學習将有能力通過處理龐大的數據池來查找異常情況,因此機器學習很可能是最适合處理各種産品生成的日志文件和錯誤消息的技術。
5.檢測勒索軟件等惡意軟件。勒索軟件家族正在日益發壯大,而機器學習可能是目前我們手中唯一可用于對抗它們的工具,因為通過檢測勒索軟件之前用過的簽名的方式已經無法跟上形勢變化。在追查勒索軟件中,檢測異常行為能力已經收到了良好的效果。
6.審查代碼以查找漏洞。DevSecOps中的一句格言是“安全性也是代碼”。顯然,開發人員需要知道如何從安全角度編寫代碼,不過如今機器學習已經可自動分析代碼查找常見的漏洞和弱點。事實上,它或許可以成為一種培訓新開發人員的工具。
7.數據分類。為符合數據隐私和數據保護法規的要求,我們應當清楚需要保護的數據的特征。機器學習可用于掃描新導入或新生成的數據并對其敏感性進行分類,以便系統能夠以其需要的方式保護它們。
8.蜜罐。在這個特定的領域中,更接近真正人工智能的深度學習可與目前的威脅自動緩解技術聯合使用。Geenens認為:“通過在互聯網上的企業網絡中部署蜜罐,我們能夠收集大量數據,如果其中的數據是惡意的,我們會對其進行标記。不幸的是,經由蜜罐檢測到的所有事件或流量實例全部是惡意的。如果我們有足夠的蜜罐和數據,那麼深度神經網絡将能夠創建一個可精準檢測出攻擊行為的模型。”
9.預測并适應未來的威脅。一些企業目前正在研究預測性安全分析技術。目前該技術已經展現出了一些商業智能前景。這種類似的機器學習技術能否被用來預測未來可能存在的漏洞和缺陷呢?現在還尚無定論。
探究真相
一些專家認為,目前根本沒有任何基于人工智能的産品。這種說法可能有些過于武斷。人工智能可以作為一個總稱,用來表示一系列廣泛的技術,這其中包括技術層面上并不屬于人工智能的機器學習技術。在最嚴格的意義上,人工智能指具有認知能力的計算機系統。Domo的CISO和SVP信任與安全部門的NiallBrowne并不信任目前“基于人工智能”的安全産品。他說:“人工智能具有巨大的潛力,并将在未來的安全領域中發揮關鍵作用。盡管如此,卻很少有人在企業安全中持續部署人工智能。”不過,他也承認機器學習确實具備安全用途。
Browne并不是唯一對一些安全産品炒作人工智能概念感到厭煩的人,他的态度得到了一些人的支持。
GreyCastleSecurity首席執行官RegHarnish對此總結道:“今天,許多聲稱自己的産品具備人工智能功能的軟件供應商不是想辦法使産品具備智能而是故意曲解原有規則。”那麼CSO/CISO應當如何問詢安全産品供應商,才能避免被機器學習的虛假宣傳所坑騙呢?
Delphi創始人兼雲存儲初創公司Wasabi顧問TomKoulopoulos指出,“首先要問的一個關鍵問題是:它們是如何學習的?因為你需要了解訓練機器學習或人工智能的具體機制。其次要分别需要多少數據?再訓練的頻率是多少?與算法的協作機制是什麼?人類怎麼給它們打分?機器學習或人工智能使用的是存檔的數據集還是在線數據?”
作為IEEE成員的IntegralPartners公司信息安全主管KayneMcGladrey給出了如下建議,“首先要在實驗室内的用戶環境複制品中對基于人工智能的安全解決方案展開評估。然後聘請一個聲譽良好的團隊模拟現實中的黑客反複嘗試突破這一環境。”
總結
現有企業安全平台内置人工智能是安全領域内人工智能發展的大勢所趨。原因很簡單,網絡犯罪分子已經在使用機器學習。“包括網絡犯罪在内,人工智能應用到各行各業是隻一個時間問題。每當安全部門開發出了新的保護措施,網絡犯罪分子就開始千方百計地企圖突破它們。人工智能将會以極快的速度提升企業的防護能力。想象一下,全球的智能犯罪系統每時每刻都在試圖入侵銀行、醫院和能源公司。當然,這些企業和公司中的人工智能系統也在時刻不停地進行工作,以阻止這些網絡犯罪分子。這些都是人工智能在未來需要面對的挑戰和機遇。”
本文作者ScotFinnie曾擔任Computerworld主編,目前為自由撰稿人,擁有數十年的IT從業經驗。
原文網址:https://www.csoonline/article/3295596/security/ai-in-cybersecurity-whatworks-and-what-doesnt.html