如何將人工智能和機器學習納入網絡安全
隨著用于工作的設備不斷多樣化,網絡攻擊也是如此,但人工智能可以幫助防止它們。
隨著網絡攻擊的性質和目標變得越來越多樣化,網絡安全人員必須擁有正確的可見性來確定如何相應地解決漏洞,而人工智能可以幫助解決人類同事無法單獨解決的問題。
“網絡安全就像一盤國際象棋,”PaloAltoNetworks歐洲、中東和非洲地區首席安全官GregDay說。“對手希望戰勝受害者,受害者的目標是阻止和阻止對手的攻擊。數據為王,也是終極獎勵。
“1996年,人工智能國際象棋系統深藍贏得了對世界冠軍加里卡斯帕羅夫的第一場比賽。很明顯,人工智能可以以編程方式思考更廣泛、更快和更遠超出規范的范圍,現在它在網絡安全中的許多應用也是如此。”
考慮到這一點,我們探索了當今網絡安全中人工智能的特定用例。
與員工一起工作
Day繼續擴展了人工智能如何與網絡安全人員一起工作以確保組織安全。
“我們都知道市場上沒有足夠的網絡安全人員,所以人工智能可以幫助填補這一空白,”他說。“機器學習是人工智能的一種形式,可以讀取來自SoC分析師的輸入并將其轉換為不斷擴展的數據庫。
“下一次SoC分析師輸入類似癥狀時,他們會看到之前類似的案例以及解決方案,基于統計分析和神經網絡的使用——減少人力。
“如果沒有以前的案例,人工智能可以分析事件的特征,并根據過去的經驗建議哪些SoC工程師是最強大的團隊來解決問題。
“所有這些實際上都是一個機器人,一個將人類知識與數字學習相結合的自動化過程,以提供更有效的混合解決方案。”
戰斗機器人
Netacea數據科學主管MarkGreenwood深入研究了機器人在網絡安全中的好處,并牢記公司必須區分好壞。
“今天,機器人占所有互聯網流量的大部分,”格林伍德解釋說。“而且他們中的大多數都很危險。從使用被盜憑據的帳戶接管到偽造帳戶創建和欺詐,它們構成了真正的網絡安全威脅。
“但企業無法僅靠人工響應來應對自動化威脅。如果他們認真對待“機器人問題”,就必須采用人工智能和機器學習。為什么?因為要真正區分好機器人(例如搜索引擎抓取工具)、壞機器人和人類,企業必須使用人工智能和機器學習來全面了解其網站流量。
“有必要攝取和分析大量數據,而人工智能使這成為可能,同時采用機器學習方法使網絡安全團隊能夠使他們的技術適應不斷變化的環境。
“通過查看行為模式,企業將得到“普通用戶旅程是什么樣子”和“有風險的不尋常旅程是什么樣子”等問題的答案。從這里,我們可以解開他們網站流量的意圖,獲得并領先于不良機器人。”
端點保護
SolarWinds安全架構副總裁TimBrown在考慮可以從該技術中受益的網絡安全的某些方面時表示,人工智能可以在保護端點方面發揮作用。隨著用于工作的遠程設備數量的增加,這變得越來越重要。
“通過遵循最佳實踐建議并與補丁和其他更新保持同步,組織可以做出反應并抵御威脅,”布朗說。“但人工智能可能會給IT和安全專業人員帶來對抗網絡犯罪分子的優勢。
“防病毒(AV)與AI驅動的端點保護就是這樣一個例子;AV解決方案通常基于簽名工作,并且有必要跟上簽名定義以抵御最新威脅。如果病毒定義落后,這可能是一個問題,因為更新失敗或缺乏來自AV供應商的知識。如果使用一種新的、以前未見的勒索軟件來攻擊企業,簽名保護將無法捕獲它。
“人工智能驅動的端點保護采取不同的策略,通過重復訓練過程為端點建立行為基線。如果發生異常情況,AI可以對其進行標記并采取行動——無論是向技術人員發送通知,還是在勒索軟件攻擊后恢復到安全狀態。這提供了針對威脅的主動保護,而不是等待簽名更新。
“人工智能模型已經證明自己比傳統的AV更有效。對于MSP服務的許多中小型公司而言,AI驅動的端點保護成本通常只針對少數設備,因此應該不太受關注。另一件要考慮的事情是感染后的清理成本——如果人工智能驅動的解決方案有助于避免潛在的感染,那么它可以通過避免清理成本來收回成本,進而創造更高的客戶滿意度。”
機器學習與短信詐騙
隨著越來越多的員工在家工作,并且可能更頻繁地使用他們的個人設備來完成任務和與同事協作,警惕短信中的詐騙很重要。
MobileIron產品管理高級副總裁布賴恩•福斯特(BrianFoster)表示:“隨著惡意行為者最近使攻擊媒介多樣化,在短信網絡釣魚詐騙中使用Covid-19作為誘餌,組織面臨著加強防御的巨大壓力。”
“為了保護設備和數據免受這些高級攻擊,在移動威脅防御(MTD)和其他形式的托管威脅檢測中使用機器學習作為一種高效的安全方法繼續發展。
“可以訓練機器學習模型以立即識別和防范潛在有害活動,包括其他解決方案無法及時檢測到的未知和零日威脅。同樣重要的是,當通過統一端點管理(UEM)平臺部署基于機器學習的MTD時,它可以增強UEM提供的基礎安全性,以支持分層的企業移動安全策略。
“機器學習是一種強大但不引人注目的技術,它可以隨著時間的推移持續監控應用程序和用戶行為,以便識別正常和異常行為之間的差異。有針對性的攻擊通常會在設備中產生非常微妙的變化,其中大部分對人類分析師來說是不可見的。有時,只有通過機器學習關聯數千個設備參數才能進行檢測。”
需要克服的障礙
這些用例以及更多用例證明了人工智能和網絡安全人員有效結合的可行性。然而,Panaseer產品副總裁MikeMacIntyre認為,要真正實現這一目標,該領域仍有許多障礙需要克服。
“人工智能當然有很多希望,但作為一個行業,我們必須清楚,它目前不是緩解所有網絡安全挑戰和解決技能短缺的靈丹妙藥,”麥金太爾說。“這是因為AI目前只是一個術語,適用于機器學習技術的一小部分。圍繞AI的大部分炒作來自企業安全產品如何采用該術語以及對AI構成的誤解(有意或無意)。
“嵌入在許多現代安全產品中的算法充其量只能稱為狹義或弱人工智能;他們在單一、狹窄的領域執行高度專業化的任務,并接受過針對單個領域的大量數據的培訓。這與通用或強大的人工智能相去甚遠,后者是一個可以執行任何通用任務并回答跨多個領域的問題的系統。誰知道這樣一個系統有多遠(從下一個十年到永遠不會有很多爭論),但是沒有CISO應該在他們的三到五年戰略中考慮這樣的工具。
“阻礙人工智能有效性的另一個關鍵障礙是數據完整性問題。如果您無法訪問相關數據源或不愿意在您的網絡上安裝某些東西,則部署AI產品毫無意義。安全的未來是數據驅動的,但我們距離人工智能產品兌現其營銷炒作的承諾還有很長的路要走。”
