越來(lái)越多的企業(yè)采用人工智能技術(shù),為他們?cè)诂F(xiàn)代IT環(huán)境中的安全工作提供幫助。數(shù)據(jù)、設(shè)備、處理能力、算法和網(wǎng)絡(luò)系統(tǒng)的指數(shù)級(jí)增長(zhǎng)(對(duì)于21世紀(jì)的任何企業(yè)而言都是寶貴的資產(chǎn))也伴隨著新的風(fēng)險(xiǎn)和漏洞。調(diào)研機(jī)構(gòu)Gartner公司在2018年12月發(fā)布的一份報(bào)告中稱(chēng),數(shù)據(jù)安全、基礎(chǔ)設(shè)施保護(hù)和云安全是安全支出增長(zhǎng)最快的領(lǐng)域,預(yù)計(jì)全球企業(yè)2019年將在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方面支出約1370億美元。
面對(duì)這一現(xiàn)實(shí),很多企業(yè)已經(jīng)意識(shí)到,僅僅采取被動(dòng)措施是不夠的;它們不僅必須擴(kuò)展和自動(dòng)化威脅應(yīng)對(duì)計(jì)劃,還必須制定積極的措施。
人工智能的功能是由一系列的技術(shù)支持的,比如機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、計(jì)算機(jī)視覺(jué)和自然語(yǔ)言處理,以檢測(cè)模式并作出推論。在網(wǎng)絡(luò)安全領(lǐng)域,人工智能在網(wǎng)絡(luò)安全中的作用是識(shí)別用戶、數(shù)據(jù)、設(shè)備、系統(tǒng)和網(wǎng)絡(luò)行為模式,并區(qū)分異常和正常。它還幫助管理員分析大量數(shù)據(jù),調(diào)查新類(lèi)型威脅,以及更快地響應(yīng)和應(yīng)對(duì)威脅。
根據(jù)Kaleido Insights公司對(duì)網(wǎng)絡(luò)安全市場(chǎng)和供應(yīng)商的研究和分析,以下是六個(gè)常見(jiàn)的使用案例,其中一些供應(yīng)商為下一代網(wǎng)絡(luò)安全產(chǎn)品鋪平了道路。
1.安全分析師和加強(qiáng)安全運(yùn)營(yíng)中心(SOC)
人工智能在網(wǎng)絡(luò)安全中最常見(jiàn)的用例之一是對(duì)分析師的支持。畢竟,人工智能不太可能取代有經(jīng)驗(yàn)的安全分析師。在機(jī)器擅長(zhǎng)的領(lǐng)域,例如,分析大數(shù)據(jù)、消除人員疲勞并使其擺脫繁瑣的任務(wù),這樣他們就可以利用更加復(fù)雜的技能(例如創(chuàng)造力、細(xì)微差別和專(zhuān)業(yè)知識(shí))來(lái)增強(qiáng)人們的能力。在某些情況下,分析人員擴(kuò)充涉及將預(yù)測(cè)分析合并到安全運(yùn)營(yíng)中心(SOC)工作流中,以進(jìn)行分類(lèi)或查詢大數(shù)據(jù)集。
Darktrace公司的Cyber?? AI Analyst是一個(gè)軟件程序,通過(guò)只顯示高優(yōu)先級(jí)事件來(lái)支持分析師。同時(shí),它查詢海量數(shù)據(jù)并在整個(gè)網(wǎng)絡(luò)中樞收集調(diào)查背景,進(jìn)行調(diào)查并整理低優(yōu)先級(jí)案件。通過(guò)分析Darktrace的分析師如何調(diào)查警報(bào)來(lái)訓(xùn)練在數(shù)千個(gè)部署中開(kāi)發(fā)的數(shù)據(jù)集,Cyber?? AI Analyst使用多種機(jī)器學(xué)習(xí)、深度學(xué)習(xí)和數(shù)學(xué)技術(shù)來(lái)處理n維數(shù)據(jù),以機(jī)器速度生成數(shù)千個(gè)查詢,并進(jìn)行調(diào)查所有并行威脅。
2.新的攻擊識(shí)別
盡管惡意軟件或其他類(lèi)型的威脅檢測(cè)已經(jīng)存在了很多年,通常是將可疑代碼與基于簽名的系統(tǒng)相匹配,但人工智能現(xiàn)在正在將技術(shù)轉(zhuǎn)向推斷,以預(yù)測(cè)新的攻擊類(lèi)型。通過(guò)分析大量的數(shù)據(jù)、事件類(lèi)型、來(lái)源和結(jié)果,人工智能技術(shù)能夠識(shí)別新的攻擊形式和類(lèi)型。這一點(diǎn)非常關(guān)鍵,因?yàn)楣艏夹g(shù)會(huì)隨著其他技術(shù)的進(jìn)步而不斷發(fā)展。
FireEye公司在其MalwareGuard產(chǎn)品中提供了一種新的攻擊識(shí)別示例。它使用機(jī)器學(xué)習(xí)算法來(lái)發(fā)現(xiàn)新的、變形的或高級(jí)的攻擊,其中簽名尚未被創(chuàng)建或尚未存在。其引擎利用了私人和公共數(shù)據(jù)源,其中包括大約1700萬(wàn)個(gè)部署的端點(diǎn)安全代理、基于超過(guò)100萬(wàn)個(gè)攻擊響應(yīng)小時(shí)的攻擊分析,以及通過(guò)全球和多語(yǔ)種安全分析網(wǎng)絡(luò)收集的情報(bào)。
3.行為分析和風(fēng)險(xiǎn)評(píng)分
行為分析技術(shù)已經(jīng)在一些不那么關(guān)鍵的領(lǐng)域(比如廣告領(lǐng)域)中率先出現(xiàn),現(xiàn)在正朝著身份認(rèn)證和反欺詐的關(guān)鍵用例發(fā)展。在這里,人工智能算法挖掘大量的用戶和設(shè)備行為模式、地理位置、登錄參數(shù)、傳感器數(shù)據(jù)以及大量數(shù)據(jù)集,以獲得用戶真實(shí)身份。
萬(wàn)事達(dá)卡公司的NuData Security是一個(gè)利用多因素大數(shù)據(jù)分析來(lái)評(píng)估風(fēng)險(xiǎn),并為端點(diǎn)和用戶安全性開(kāi)發(fā)每個(gè)事件的動(dòng)態(tài)配置文件的平臺(tái)。該公司使用機(jī)器和深度學(xué)習(xí)來(lái)分析四個(gè)領(lǐng)域:
(1)行為數(shù)據(jù):瀏覽器類(lèi)型、流量變化、瀏覽速度和頁(yè)面停留時(shí)間。
(2)被動(dòng)生物識(shí)別技術(shù):用戶的鍵入速度、設(shè)備角度、擊鍵和壓力。
(3)設(shè)備智能:特定設(shè)備的已知連接與新連接、位置和網(wǎng)絡(luò)交互。
(4)行為信任聯(lián)盟:萬(wàn)事達(dá)卡(Mastercard)的大數(shù)據(jù)存儲(chǔ)庫(kù),可在人口級(jí)別分析數(shù)十億個(gè)數(shù)據(jù)點(diǎn)。
4.基于用戶的威脅檢測(cè)
從內(nèi)部威脅到特權(quán)濫用和管理濫用再到黑客,人類(lèi)是網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要而多樣的載體。因此,人工智能技術(shù)應(yīng)運(yùn)而生,以檢測(cè)用戶在IT環(huán)境中的交互方式的變化,并描述他們?cè)诠舡h(huán)境中的行為特征。
LogRhythm公司正在使用其下一代SIEM平臺(tái)CloudAI來(lái)進(jìn)行基于用戶的威脅檢測(cè)。具體來(lái)說(shuō),該公司將不同的用戶帳戶(VPN、工作電子郵件、個(gè)人云存儲(chǔ))以及相關(guān)的標(biāo)識(shí)符(例如用戶名和電子郵件地址)映射到實(shí)際用戶的身份,以建立全面的行為基準(zhǔn)和用戶配置文件。此外,CloudAI旨在隨著時(shí)間的推移而發(fā)展,以用于當(dāng)前和將來(lái)的威脅檢測(cè)。分析師在正常的調(diào)查過(guò)程中對(duì)系統(tǒng)進(jìn)行培訓(xùn),并從整個(gè)平臺(tái)的擴(kuò)展客戶群中收集數(shù)據(jù)以進(jìn)行威脅培訓(xùn)。CloudAI還可以配置模型以通過(guò)連續(xù)調(diào)整進(jìn)行自我修復(fù),而無(wú)需人工干預(yù)。
Vectra AI公司通過(guò)分析攻擊生命周期對(duì)這種用例采用了差異化的方法。使用大約60種機(jī)器學(xué)習(xí)模型來(lái)分析攻擊者在攻擊生命周期中可能執(zhí)行的所有行為,其中包括遠(yuǎn)程訪問(wèn)工具、隱藏通道、后門(mén)、偵察工具,憑證濫用和過(guò)濾。該公司聲稱(chēng),其Cognito平臺(tái)顛覆了傳統(tǒng)的基于用戶的威脅檢測(cè)方法,為防御者提供了多種機(jī)會(huì)來(lái)檢測(cè)攻擊者。
5.跨端點(diǎn)終止鏈的設(shè)備上檢測(cè)
移動(dòng)設(shè)備在企業(yè)中的興起,開(kāi)啟了網(wǎng)絡(luò)安全威脅的新時(shí)代,改變了端點(diǎn)安全的本質(zhì)。企業(yè)通常管理傳統(tǒng)的端點(diǎn),比如筆記本電腦,而現(xiàn)在的移動(dòng)“系統(tǒng)管理員”是最終用戶。無(wú)論是員工、消費(fèi)者還是黑客,都會(huì)采用下載、應(yīng)用程序、通信渠道和網(wǎng)絡(luò)交互等服務(wù)。此外,應(yīng)用程序通常都在自己的容器中,這限制了傳統(tǒng)的補(bǔ)丁管理。這種根本不同的配置意味著,攻擊者的目標(biāo)是通過(guò)提供根訪問(wèn)漏洞來(lái)持久化,從而危害整個(gè)設(shè)備,同時(shí)有效地避開(kāi)企業(yè)網(wǎng)絡(luò)。因此,移動(dòng)端點(diǎn)保護(hù)必須保護(hù)整個(gè)殺傷鏈——從仿冒應(yīng)用程序或網(wǎng)絡(luò)的釣魚(yú)嘗試到各種不同的惡意攻擊類(lèi)型。在這里,管理員將機(jī)器學(xué)習(xí)應(yīng)用于每個(gè)攻擊向量,而不是為每個(gè)攻擊向量部署不同的檢測(cè)系統(tǒng),以便預(yù)測(cè)任何給定點(diǎn)交互威脅系統(tǒng)接管的可能性。
Zimperium公司是一家專(zhuān)門(mén)從事移動(dòng)終端安全的公司,它使用機(jī)器學(xué)習(xí)在整個(gè)移動(dòng)殺傷鏈中提供設(shè)備上檢測(cè),監(jiān)控所有惡意軟件、網(wǎng)絡(luò)釣魚(yú)、設(shè)備、應(yīng)用程序和網(wǎng)絡(luò)交互。雖然目前沒(méi)有在設(shè)備上運(yùn)行機(jī)器學(xué)習(xí)模型,但Zimperium在通過(guò)基于云計(jì)算的深度學(xué)習(xí)技術(shù)派生的設(shè)備上部署了基于機(jī)器學(xué)習(xí)的檢測(cè)技術(shù),在7000萬(wàn)多臺(tái)設(shè)備上使用,它監(jiān)控來(lái)自所有惡意軟件、網(wǎng)絡(luò)釣魚(yú)、設(shè)備、應(yīng)用程序、網(wǎng)絡(luò)交互的所有矢量的匿名數(shù)據(jù),使用云計(jì)算技術(shù)分析特定的攻擊路徑,識(shí)別來(lái)自信號(hào)的噪聲,運(yùn)行測(cè)試場(chǎng)景,并部署分類(lèi)器以改進(jìn)邏輯和算法,然后應(yīng)用于設(shè)備上檢測(cè)。這個(gè)循環(huán)對(duì)于在當(dāng)前和新的威脅類(lèi)型(貫穿整個(gè)殺傷鏈)攻擊或?qū)崿F(xiàn)持久接管之前進(jìn)行檢測(cè)至關(guān)重要。
6.斷開(kāi)連接的環(huán)境中的主動(dòng)安全性
隨著數(shù)據(jù)和設(shè)備滲透到物理世界,保護(hù)和減少平均檢測(cè)和響應(yīng)時(shí)間的能力成為連接和計(jì)算能力的問(wèn)題。越來(lái)越復(fù)雜的技術(shù)基礎(chǔ)設(shè)施意味著對(duì)其運(yùn)營(yíng)的安全性和效率的更大需求,這些基礎(chǔ)設(shè)施可以在航空、能源、國(guó)防和海事等關(guān)鍵任務(wù)環(huán)境中實(shí)現(xiàn)數(shù)據(jù)價(jià)值。在這些環(huán)境中,計(jì)算密集度更高的人工智能應(yīng)用程序仍處于萌芽狀態(tài),但新技術(shù)不斷涌現(xiàn),可以通過(guò)本地支持促進(jìn)基于機(jī)器學(xué)習(xí)的腳本、文件、文檔和惡意軟件分析的安全性。
SparkCognition公司自稱(chēng)是一家人工智能公司,而不是一家安全公司,該公司支持在斷開(kāi)連接的環(huán)境中使用的應(yīng)用程序。當(dāng)?shù)?11調(diào)度中心采用其應(yīng)用程序管理其托管的敏感信息。SparkCognition公司的DeepArmor通過(guò)現(xiàn)場(chǎng)管理控制臺(tái)運(yùn)行。具體來(lái)說(shuō),DeepArmor使用機(jī)器學(xué)習(xí)對(duì)大約20,000個(gè)獨(dú)特文件功能進(jìn)行靜態(tài)文件分析,以確定在幾秒鐘內(nèi)惡意活動(dòng)的可能性。盡管管理人員必須在這些環(huán)境中人工執(zhí)行模型更新,但DeepArmor沒(méi)有簽名要求,這意味著它不需要每日簽名掃描。
人工智能在網(wǎng)絡(luò)安全中的作用正在擴(kuò)大
當(dāng)然,還有其他一些規(guī)模較小的用例可用于將機(jī)器學(xué)習(xí)和深度學(xué)習(xí)應(yīng)用于網(wǎng)絡(luò)安全需求,其中包括以下內(nèi)容:
•大數(shù)據(jù)查詢的生成和分析
•威脅擴(kuò)散和擴(kuò)散檢測(cè)
•自主響應(yīng)
•代理合并和跨其他安全工具的部署
•威脅阻止自動(dòng)化
•惡意軟件分類(lèi)
•攻擊分類(lèi)(未知、內(nèi)部、持續(xù))
•假陽(yáng)性減少
•產(chǎn)品自我修復(fù)
•機(jī)器數(shù)據(jù)理解(超過(guò)800種不同的設(shè)備類(lèi)型)
•加密的流量分析
•政策合規(guī)性分析
•網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)
•增強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)盡職調(diào)查(合并和收購(gòu)前)
盡管機(jī)器學(xué)習(xí)具有很大的潛力,但它并不是靈丹妙藥,它只是一種工具。人工智能取決于數(shù)據(jù)的質(zhì)量,而在安全性方面,這不僅僅意味著大數(shù)據(jù),還意味著多語(yǔ)言的實(shí)時(shí)數(shù)據(jù),最重要的是良好的數(shù)據(jù)。它的成功需要安全專(zhuān)家和數(shù)據(jù)科學(xué)家之間的合作。
盡管有很高的營(yíng)銷(xiāo)要求,但現(xiàn)實(shí)情況是,企業(yè)安全環(huán)境是巨大的、動(dòng)態(tài)的網(wǎng)絡(luò),管理人員必須根據(jù)持續(xù)的、不可預(yù)測(cè)的、內(nèi)部和外部的威脅向量不斷地監(jiān)視、審計(jì)和更新。人工智能在檢測(cè)、調(diào)查和應(yīng)對(duì)威脅的能力方面引入了各種增強(qiáng)功能,但它是人員與技術(shù)的結(jié)合,能夠在不斷發(fā)展的安全環(huán)境中真正管理全方位的威脅。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)