現在，人類能力和可用資源明顯不足以抵御所有攻擊，我們需要增加機器智能來保護網絡。

在現在這個龐大而復雜的網絡中，人類無法通過傳統安全工具來檢測和識別每個威脅。我們需要通過機器智能來提高人類的能力，人與機器相結合可用提高識別和阻止威脅的能力，在某些方面這類似于機械戰警。

[[137062]]

現在企業使用的安全工具并沒有什么用，這是因為兩個令人驚訝的原因。第一個是攻擊者在被發現之前可自由控制系統的時間量：在Premera和P.F.Chang攻擊事件中為8個月，Nieman Marcus為6個月，Home Depot為5個月等。

第二個是響應情況。大家通常都會往后看，試圖找出外部攻擊者是如何入侵。雖然找出泄露事故并阻止泄露非常重要，但這種做法更像是尋找癥狀，而不是治療疾病。

Premera、索尼、Target等公司花了幾個月時間來檢測其網絡中的攻擊者，并開始修復讓他們成功入侵的漏洞，那么，他們怎么可以確保其他攻擊者不會發現另一個漏洞呢?他們怎么知道其他攻擊者現在沒有在順手竊取數據呢?他們當然不知道。

典型的響應

在過去，大多數公司僅有一種響應做法來應對不斷增加的威脅，現在他們仍然在使用這種響應方法。他們重新加強系統、防火墻和IDS/IPS規則及閾值，并部署更嚴格的Web代理服務器和VPN政策。但這樣做會讓事件響應小組淹沒在警報中。

更嚴格的政策會讓已經捉襟見肘的安全團隊的工作變動更加困難。這會導致每天數以千計的誤報，讓安全團隊根本不可能調查每個警報。從最近的攻擊事故來看，海量的警報可以幫助惡意活動流入內部，即使它被“抓住了”，也不會有什么行動。

此外，加緊安全規則和程序只會浪費大家的時間。按照設計，更嚴格的政策會限制對數據的訪問，并在很多情況下，員工需要這些數據來做好自己的工作。員工和部門會開始要求獲取他們所需要的工具和信息，這會浪費他們寶貴的工作時間，還需要IT/安全團隊來嚴格審查每個請求。

機械戰警

現在，人類能力和可用資源明顯不足以抵御所有攻擊，我們需要增加機器智能來保護網絡，這有點像電影《機械戰警》中，讓機器戰警來保護街道，但在這種情況下，主要算法是統計算法。更具體而言，統計數據可以用來發現異常和潛在惡意活動。

根據SANS研究所分析師Dave Shackleford表示，“安全企業面臨的最大挑戰之一是缺乏可視性。”在其2014年分析和情報調查中，對于為什么難以檢測問題，350名IT專業人士的主要回答是他們無法理解和確定“正常行為”基準。這是人們在復雜環境做不到的事情，而由于我們無法區分正常行為，我們無法看到異常行為。

而機器可以學習正常行為是什么樣，并可以實時調整，在處理更多信息后，它們可以變得更加聰明。更重要的是，機器可以快速處理網絡創建的海量信息量，并且它們可以接近實時做到這一點。有些網絡每秒要處理TB級的數據，在另一方面，人類每秒只能處理每秒60比特。

暫且不論速度和處理能力的需要，傳統監測的更大問題是規則沒什么用。人類設置規則告訴機器如何行動和做什么，而與速度和處理能力無關。雖然基于規則的監測系統非常復雜，它們仍然是基于“如果是這樣，那么那樣做”的公式。真正可以提高安全的做法是讓機器自己思考(+微信關注網絡世界)，以及提供更好的數據。

想象一下，在現實世界中，有人每天推著滿是污垢的獨輪車通過海關，海關人員很遵守其工作規則，每天都檢查這些污垢，從來沒有發現他們認為他們在找的東西。即使同一個人反復推著滿是污垢的獨輪車通過邊界，沒有人會想過看看獨輪車。如果他們有這么想過，他們很快會發現他一直在偷手推車。

只是因為沒人告訴海關人員尋找被盜的手推車，當然，這是事后諸葛亮。在數字世界中，我們不必依靠事后諸葛亮，因為我們現在有辦法利用機器智能來發現異常情況。為了實現有效的安全保護，至少需要基本水平的智能化。如果機器可以自己學習和檢測異常活動，它們會發現這個“手推車小偷”，即使你不知道你在找這個小偷。

異常檢測是機器學習用于加強網絡和應用程序安全性的第一個技術類別。這是高級安全分析形勢，然后這種技術必須滿足一些要求才可被認為是“高級”。它必須易于部署，可應對廣泛的數據類型和來源，并對海量數據進行分析來產生可視性。

領先的分析師認為，機器學習將很快成為“必須具備的功能”來保護網絡。在2014年Gartner名為《添加新的性能指標來管理機器學習功能的機器》報告中，分析師Will Cappelli直接指出，“在未來五年內，機器學習功能將逐漸開始普及，在這個過程中，這將從根本上改變系統性能和成本特性。”

雖然機器學習并不是可以解決所有安全問題的“萬能解決方案”，但可以肯定的是，它可以提供更好的信息來幫助人們做出更好的決策。