為什么說機(jī)器學(xué)習(xí)是我們預(yù)防網(wǎng)絡(luò)威脅的較佳武器
隨著攻擊面的不斷擴(kuò)大以及攻擊技術(shù)的日趨復(fù)雜,安全行業(yè)目前正面臨著嚴(yán)重的“安全技能短缺”。因此,我們過去所使用的安全保護(hù)策略可能已經(jīng)不再像以前那么有效了,而現(xiàn)在唯一能幫我們對(duì)抗網(wǎng)絡(luò)犯罪分子的盟友武器,可能就是機(jī)器學(xué)習(xí)技術(shù)了。
盡管很多大學(xué)和在職培訓(xùn)機(jī)構(gòu)已經(jīng)盡了最大的努力,但到2022年市場(chǎng)上預(yù)計(jì)將出現(xiàn)180萬左右的安全專業(yè)職位空缺。這場(chǎng)“危機(jī)”之所以會(huì)到來,其中一個(gè)原因就在于物聯(lián)網(wǎng)設(shè)備數(shù)量的直線上升將導(dǎo)致攻擊面呈指數(shù)增長(zhǎng)。與此同時(shí),很多傳統(tǒng)的犯罪組織以及流氓國(guó)家也正在成為網(wǎng)絡(luò)犯罪領(lǐng)域中的主要力量,他們所擁有的資源和技術(shù)可能比以往安全社區(qū)所面臨的任何情況都要可怕得多。
但幸運(yùn)的是,機(jī)器學(xué)習(xí)和其他形式的人工智能技術(shù)已經(jīng)成熟到足以加入網(wǎng)絡(luò)安全防御戰(zhàn)線的最前線了。計(jì)算機(jī)分析趨勢(shì)、處理大規(guī)模數(shù)據(jù)以及檢測(cè)異常的能力都要遠(yuǎn)遠(yuǎn)高于人類能力。在機(jī)器學(xué)習(xí)算法的的幫助下,計(jì)算機(jī)可以根據(jù)一系列基本規(guī)則來將其應(yīng)用到大規(guī)模數(shù)據(jù)集上。當(dāng)它們不停地對(duì)這些規(guī)則進(jìn)行迭代測(cè)試后,它們對(duì)數(shù)據(jù)的理解將會(huì)更加深刻和復(fù)雜。
利用機(jī)器學(xué)習(xí)增強(qiáng)安全防御、檢測(cè)和響應(yīng)能力
人工智能技術(shù)增強(qiáng)了安全分析師的能力,緩解了安全人才短缺的情況。這些激素和可以給初級(jí)分析人員提供診斷技能和資源輔助,而這些資源通常需要多年的實(shí)戰(zhàn)經(jīng)驗(yàn)才可以積累下來。接下來,我們從防御、檢測(cè)和響應(yīng)這三個(gè)角度來看看機(jī)器學(xué)習(xí)可以如何幫到我們。
1. 防御
這些年所發(fā)生的一些大規(guī)模數(shù)據(jù)泄露事件,都是因?yàn)槟切┮呀?jīng)被修復(fù)了的漏洞依然能夠被攻擊者利用所導(dǎo)致的。比如說,2014年的Heartbleed漏洞里用的就是OpenSSL協(xié)議中的一個(gè)設(shè)計(jì)缺陷,但這個(gè)漏洞的補(bǔ)丁卻早就已經(jīng)發(fā)布出來了。而去年還發(fā)生過一次嚴(yán)重的數(shù)據(jù)泄露事件,此次事件中攻擊者利用的是Apache Struts框架中的已知漏洞,而這個(gè)漏洞早在事件發(fā)生的兩個(gè)月前就已經(jīng)被修復(fù)了。
補(bǔ)丁管理對(duì)于企業(yè)安全專家來說是非常重要的,他們不僅要對(duì)企業(yè)IT資產(chǎn)的安全狀態(tài)進(jìn)行持續(xù)性的監(jiān)控,而且還需要對(duì)更新補(bǔ)丁進(jìn)行跟蹤。但是,由機(jī)器學(xué)習(xí)驅(qū)動(dòng)的IT運(yùn)營(yíng)管理可以讓這些操作以自動(dòng)化的方式進(jìn)行。
機(jī)器學(xué)習(xí)還可以解決安全防御環(huán)節(jié)中人類的影響因素,比如說網(wǎng)絡(luò)釣魚攻擊現(xiàn)在越來越復(fù)雜了,而且也很難被人類一眼察覺。而且網(wǎng)絡(luò)犯罪分子還可以使用腳本來將用戶重定向到惡意網(wǎng)站,并且去他們的憑證信息。攻擊成功之后,他們就可以迅速將釣魚頁面刪除。實(shí)際上,一次釣魚攻擊中70%的憑證都是在攻擊發(fā)起后的1小時(shí)之內(nèi)竊取到的。雖然人類無法快速發(fā)現(xiàn)這些釣魚頁面,但是計(jì)算機(jī)可以通過訓(xùn)練來尋找釣魚頁面的特性,并在一瞬間屏蔽這些頁面。除此之外,它們還可以通過網(wǎng)絡(luò)來分享自己的“經(jīng)驗(yàn)”,并提升其他設(shè)備的檢測(cè)能力。
2. 檢測(cè)
行為分析是機(jī)器學(xué)習(xí)的一種,它需要通過搜索大量的系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫信息來尋找異常活動(dòng)。行為分析可以顯著降低(減少75%)網(wǎng)絡(luò)內(nèi)部的安全威脅,比如說,檢測(cè)設(shè)備可以發(fā)現(xiàn)來自未知IP地址的訪問嘗試,重復(fù)登錄失敗和下載大量關(guān)鍵數(shù)據(jù)等行為。
機(jī)器學(xué)習(xí)可以幫助安全團(tuán)隊(duì)處理由不當(dāng)權(quán)限所帶來的漏洞。計(jì)算機(jī)設(shè)備可以掃描網(wǎng)絡(luò)上數(shù)以百萬計(jì)的文件夾,并從中尋找警告標(biāo)識(shí),比如說某些特殊權(quán)限或特殊用戶等等。除此之外,它們還可以搜索出那些已離職人員的登錄憑證。
3. 響應(yīng)
一旦檢測(cè)到了入侵行為,安全團(tuán)隊(duì)就需要以最快的速度盡量減少損失,并將攻擊者“趕出”自己的網(wǎng)絡(luò)系統(tǒng)。此時(shí)的當(dāng)務(wù)之急就是了解數(shù)據(jù)泄露事件發(fā)生的根本原因、了解受感染程度、并確定受影響的范圍。
在機(jī)器學(xué)習(xí)的幫助下,安全團(tuán)隊(duì)可以快速建立一份“知識(shí)圖”來描述攻擊的波及范圍。它們可以精確定位IP地址、設(shè)備以及個(gè)人用戶,而且比手動(dòng)分析要來得更加快速和精準(zhǔn)。這使得團(tuán)隊(duì)能夠迅速移除所有受感染的元素,并實(shí)現(xiàn)安全事件的自動(dòng)化響應(yīng),而這些自動(dòng)化過程包括將入侵者隔離在單獨(dú)的子網(wǎng)、關(guān)閉端口、隔離設(shè)備或?qū)?shù)據(jù)進(jìn)行加密等等。
另一種有趣的新型響應(yīng)技術(shù)就是移動(dòng)威脅防御,這種技術(shù)會(huì)不斷改變網(wǎng)絡(luò)中的資源狀態(tài),比如IP地址和數(shù)據(jù)位置等等,并通過這種方式來迷惑并影響攻擊者的活動(dòng)。對(duì)于人類來說,手動(dòng)實(shí)現(xiàn)這種技術(shù)幾乎是不可能的,但機(jī)器學(xué)習(xí)就非常適合這種類型的任務(wù)。
團(tuán)結(jié)就是力量
雖然機(jī)器學(xué)習(xí)可以從各個(gè)方面幫助我們預(yù)防網(wǎng)絡(luò)威脅,但你可別忘了,我們有的東西,網(wǎng)絡(luò)犯罪分子也有,而且可能還會(huì)更加先進(jìn)。這是因?yàn)槿绱耍覀儾判枰献鳎粌H是不同機(jī)構(gòu)間的合作,而且跨領(lǐng)域之間的合作也是勢(shì)在必行的,因?yàn)榫W(wǎng)絡(luò)威脅的嚴(yán)重性要求我們拋開某些競(jìng)爭(zhēng),這樣才能換取更大的利益。
不過,網(wǎng)絡(luò)犯罪分子之間也可以共享數(shù)據(jù),但他們的動(dòng)機(jī)不同,而且壞人之間幾乎是沒有信任的。我相信,全球安全專業(yè)人員集體的智慧再配合智能機(jī)器的強(qiáng)大功能,肯定會(huì)成為我們長(zhǎng)期以來最強(qiáng)大的安全防線。技術(shù)已經(jīng)誕生了,我們需要的就是集思廣益,思考如何才能更好地去使用它們。
