人工智能的三大無能無力
任何技術都有局限性,AI和人工智能也不例外。其局限有三:檢測、功耗和人力。
思科一份最近的調查顯示,39%的CISO稱其公司依賴自動化推動網絡安全工作,另有34%稱依賴機器學習,32%報告稱高度依賴人工智能(AI)。CISO如此看好AI令人頗為意外,畢竟,除了識別惡意行為,AI在網絡安全方面的應用場景似乎也不是很多。
老實說,AI絕對有益于網絡安全。隨著惡意軟件像流感病毒一樣不斷自我變異,不使用AI幾乎不可能發展出恰當的響應策略。銀行或信用卡提供商之類的金融機構也可以通過適當訓練的AI大幅強化其SIEM系統,提升欺詐檢測和預防能力。但AI并非萬靈丹,炒作得再多也不是。事實上,與其他任何技術一樣,AI也有其局限性。
1. 騙過一次就能暢通無阻:AI可用于欺騙其他AI
這是個大問題。安全人員用AI優化威脅檢測的同時,攻擊者也在琢磨著用AI規避檢測。公司企業用AI以更高的準確率檢測攻擊,攻擊者就用AI來開發更智能、會進化的惡意軟件來規避檢測。基本上,惡意軟件就是用AI來逃過AI檢測。惡意軟件一旦通過了公司的AI檢測關,可以很輕松在公司網絡內橫向移動而不觸發任何警報,公司的AI會將惡意軟件的各種探測行為當做統計錯誤加以排除。而到惡意軟件被檢出之時,安全防線早已被洞穿,傷害也可能已經造成。
2. 功耗成問題:低功耗設備可能拖不動AI
物聯網(IoT)設備通常都是低功耗小數據量的。如果攻擊者成功將惡意軟件部署到了這一層次,那AI基本就頂不上用了。AI需要大量內存、算力和大數據才可以發揮作用。而IoT設備通常不具備這幾個條件,數據必須發送到云進行處理才可以受到AI的響應。而那時,已經太遲。就好像出車禍時車載AI會自動撥打報警電話并報告車輛所處位置,但車禍已經發生的事實改變不了。車輛自動報警可能比等路人幫忙報警要快一點,但仍然無法預防撞車。AI最多有助于在設備完全失控之前檢測出有什么不對勁,或者,在最壞的情況下,讓你不至于失去整個IoT基礎設施。
3. 已知的未知:AI無法分析自己不知道的東西
嚴格控制的網絡上AI運行良好,但現實世界繽紛多彩不受控。AI有四大痛點:影子IT、BYOD項目、SaaS系統、雇員。無論你給AI灌注了多少大數據,都得同時解決這4個痛點,而這是難度大到幾乎不可能的任務。總有雇員會通過不安全WiFi網絡在個人筆記本電腦上打開公司的Gmail郵件,然后,敏感數據就此流失,AI甚至連知道這一事件的機會都沒有。最終,公司自己的應用可以受到AI保護,防止用戶誤用,但終端用戶使用你根本感知不到的設備你是無法防護的。另外,僅提供智能手機App,不提供企業訪問控制,更不用說實時日志的云系統,你又怎么引入AI呢?這種情況,企業沒有辦法成功利用機器學習。
AI確實有所幫助,但它并非游戲規則顛覆者。AI可用于在受控系統中檢測惡意軟件或攻擊者,但難以防止惡意軟件被部署在公司系統中,而且除非你確保它能控制你所有終端設備和系統,否則它一點用都沒有。網絡攻防戰一直在繼續,只不過,防御者和攻擊者都在用與以往不同的武器,而我們的防御只有在恰當部署和管理之下才會有效。
與其將AI當成網絡安全救星,不如把精力放在更基本的老問題上:缺乏控制、缺乏監視、缺乏對潛在威脅的理解。只有了解了用戶和用戶使用的設備,知道用戶都會拿這些設備來干什么,然后確保所用系統能切實受到AI的保護,才可以開始部署并訓練AI。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
