人工智能(AI)的话题已经热了数年,但最近,网络安全行业关于AI的讨论都集中在机器学习(ML)上——用算法梳理数据,从中学习,并基于分析结果指导动作的一种AI方法,比如自动阻止未知威胁什么的。
回顾AI/ML历史,你会很快发现,其背后的科学早在1950年代便开始发展了。1951年,阿兰·图灵的奠基性论文提出了一个简单的问题:“机器能思考吗?”但是,如果该方法论已经出现了几十年,很自然地,我们会想,为什么现在才开始应用呢?
由于ML系统可在不受人监管的情况下自行评估新数据及行为,每家公司都急于在多种应用中采纳该尖端方法。然而,机器学习的真正价值,是基于过往所学,而不仅仅是当前纳入并分析的内容,来做出决策的能力。机器学习系统需要训练,而训练必须要有大量以往数据和情报。
为最大化安全工作中ML的有效性,在采纳ML之前最好先了解清楚自己需要做什么。比如以下3个方面:
1. 收集高质量的数据
训练机器学习系统的基础,是手握大量高品质数据。采纳含有ML的产品时,你会想要强化之前所做的工作,比如特征码收集和自动化恶意软件分析,以便将之与机器学习能力相结合,对新型恶意内容加以确定。除了坏数据,你还需要拥有大量良性数据,这样就可以在训练机器学习算法时,让它准确区分危险和良性的东西。
2. 建立安全一致性
最终,你需确保ML算法能在多个层级上运行,包括网络流量、用户行为和终端。举个例子,如果目前你只观察自己网络流量中的异常行为,终端或用户行为都没有进入你的安全工作视线,你就不可能准确关联并确定真正恶意的东西,做不出最明智的决策。
3. 向供应商提出正确的问题
很多公司声称自己的解决方案中囊括了ML,但大多数时候,这项功能是被夸大了的。你询问供应商的问题,应落脚在他们系统的准确率、速度和效率上。分析的数据是从哪儿来的?收集频率是多久一次?该解决方案做出决策引导动作的速度有多快?拟定并问出这么些全面深入的问题,可以让你选出最适合自家公司需求的ML系统。
考虑机器学习价值的时候,最终目标很简单:用软件来自动采取行动。这一领域的研究已延续了几十年,业界已走到了可有效应用的程度,我们防止成功攻击的能力在ML的加持下已有所增强。
攻击数量不断增加,攻击行动也正走向自动化,但公司企业的响应工作,却通常应用的是无法扩展的人工过程。在通往更少手动工作,尽可能自动化威胁防止过程的路上,机器学习无疑是网络安全人士的得力助手。