网络安全行业有三件很明确的事情:黑客始终会变得更高明,攻击频率会加快,他们最终会潜入进来。
如今,大多数成熟的企业和经验丰富的安全专业人员还是采取消极被动的手段,力求最大限度地成功应对威胁。但是安全运营中心(SOC)只能针对它们能轻松识别的攻击作出反应,因而需要分析的数据量与监控一切的IT人员之间完全存在很严重的失衡。
这时候机器学习应运而生。机器学习让安全运营中心更加拥有与网络犯罪分子均等的机会。五年内,机器学习将成为安全检测和防御技术的一股推动力,这种工具从未停止对异常事件的监管,异常事件可能表明来自企业内外的恶意活动。
机器学习正俨然成为一件备受青睐的利器,让运营中心所作的决策能够优化IT运营、安全运营和业务运营。在安全界,它让IT人员能够更有效地检测事件、缩短解决时间、实现响应自动化,并保护企业组织最宝贵的信息。
01.适应和采用
安全威胁变得更加重大。勒索软件令人不安,有可能让大型跨国企业或防御措施较少的小公司的运营都陷入瘫痪。不断改进的攻击手法让勒索软件成为一种更名正言顺的日常威胁,让沦为受害者的企业组织只好在这两者之间作一选择:要么任由运营系统被冻结或被删除,要么乖乖支付赎金、以求解脱。
此外,有更多的大规模攻击采用僵尸网络,利用无辜的技术(比如路由器和物联网联网设备),向互联网企业发送海量的互联网流量,致使它无力招架。针对互联网的大型、有目的性的分布式拒绝服务(DdoS)攻击可能会增多,并且有可能给必须24*7在线运行的某些行业(比如医疗、政府和公用事业等行业)带来严重破坏。
另外值得关注的是,现在黑客力求访问权以获取数据,不仅仅是为了以此获利,还为了使数据武器化。损坏声誉或披露专有信息的泄露是黑客经常采用的花招,可能会给企业组织带来致命打击,而不仅仅是财务受到影响。这时候机器学习派得上用场。
02.机器学习是致胜武器
市场的这一演变使得立足于数据的分析驱动型安全策略立绝对必不可少。许多公司在寻求新的策略,实现不断进入的海量数据的价值最大化;这样一来,自动化成为了许多公司开展运营的基本驱动力。公司处理的数据中有很大一部分如今是由机器生成的,比如服务器、传感器、防火墙及其他设备。如今可供使用的一些最先进的机器学习算法旨在更合理地利用这些数据。
机器学习让企业组织能够更准确地分析眼前发生的攻击,而不是寻找以往的趋势。机器学习不仅被用来识别可能表明攻击的模式,还用来处理诸多任务,比如实时跟踪公司企业不同方面的多个参数。虽然迄今为止安全界面临的挑战可能被认为是从草堆里找到那根针,而如今的SOC肩负的任务是,从一大垛草堆中找到那根形状奇特的针。
传统的分析系统似乎表现不俗,但是它们并不是为分析机器数据并从中学习而开发的。这一项工作落在员工的身上;在大多数企业组织,根本就没有足够的人手来处理这项工作。机器学习可以使搜寻行为或活动中的异常模式实现自动化,并提醒安全团队注意优先级最高的问题。这让企业组织得以自动检测并响应已知威胁和未知威胁。
采用机器学习面临的一个异常棘手的挑战就是内部威胁。比如说,戴尔公司最近的一项调查发现,数量多得惊人的员工(72%)表示,他们愿意共享机密信息。恶意内部威胁之所以如此顽固,就是由于它们因企业而异,静态的关联搜索技术太难对付得了它们。机器学习能够更容易识别和发现内部威胁,增强安全分析员处理这种重要问题的能力。
03.机器学习的吸引力
未来的SOC似乎有可能将机器学习作为核心的安全工具,将这项技术应用于威胁检测、风险分析、预防和事件响应。机器学习已经与关键的安全技术融为一体,比如安全信息及事件管理(SIEM)和用户行为分析(UBA)。这种融合将有助于打造一种更动态、更灵活的安全机制,专注于借助机器学习,提供长期的、分析驱动的威胁搜索机制。说到运用人类智慧分析处理机器数据,安全分析员仍然必不可少,然而机器学习和自动化带来的好处却让安全分析员能够制定一套更强大、积极主动的安全策略。
力求将机器学习应用于安全工作的公司应认真挑选厂商,确保自己获得物有所值的解决方案。这个市场目前一片乱象;说到使用机器学习这个术语,许多厂商不是无知,就是缺乏诚意。比如说,推销时号称机器学习的解决方案可能只是一款辅以病毒特征的基本检测工具而已。
高级的机器学习解决方案与基本的机器学习解决方案之间也存在重大的区别。先进的机器学习应该具有这类功能:开展针对性调查、发出智能警报和执行预测性行动。
想成功地实施机器学习来加强安全,公司必须先要有一个很适合从机器数据来提供业务洞察力的分析平台。
随着更多的公司利用针对这家公司高度定制的机器学习,安全专业人员将会因此而提升安全本领。
HanSight Enterprise平台采用机器学习、数据建模、关联分析等技术,可针对以上问题发挥强大的功能,包括:
全局安全态势感知
将已实施的信息安全技术手段和外部的威胁情报相结合,提高 IT 资源防护水平,有效提升信息安全风险管理的全局可知、可辨、可控、可管与可视能力,提高对网络信息安全宏观态势的掌控、分析和评估水平。
内部威胁发现
以海量内部数据和场景化的安全模型为基础,快速准确地发现各种内部人员的违规与风险行为,综合检测率达业界最高。
安全事件管理
具备安全监控信息汇总和信息安全事件风险协调处理的功能,提高对信息安全事件风险的预警和响应能力。同时可以全量存储的各类原始安全日志,并建立的索引数据,为安全分析人员提供便捷的查询接口,使得分析人员能够对已发生的安全事件进行追溯和定位。
异常检测
为应对一些未知的漏洞、攻击手段和新型威胁,平台应能够对视频监控网络中的流量信息进行连续、实时的监控分析,以发现各种网络或系统中的异常行为。
持续性合规审计
平台利用技术化的手段对等级保护的合规要求能够实时的自查和监控,使得网络能够对等级保护要求实现持续性合规。
安全审计
平台具备安全审计功能,对网络中的网络设备、安全设备、操作系统、中间件、应用以及数据库等的日志信息进行及时的审计,保证安全事件发生后的追溯和追责。
全局报表
平台能够直接生成全局安全报表或报告,同时支持自定义报告,比如按照等保合规要求,对各个领域的数据进行统计分析,展现给不同层级的安全管理人员。