网络安全可能是现在所有企业面临的最大威胁。尽管这不是新的挑战,但是系统、数据、云技术、应用程序、设备和分布式端点的激增正在加剧网络安全威胁。企业必须比以往更加努力地保护自己的资产和客户。而这超出了自动化响应性措施的范围,现在信息安全专业人士需要努力实现主动检测,以提前避免或阻止威胁。
目前企业开始寻求AI的帮助来增强安全性和保护其业务资产。具体来说,当今的安全软件使用机器学习、深度学习、机器推理和很多相关技术来审查大量数据。其目的是加快对正常与异常的了解,以检测恶意行为和实体。
据统计,到2022年,全球信息安全支出预计将达到1,700亿美元,网络安全行业正在努力创建更有效、更具弹性的机制和工具。由于技术方面的进步,AI和机器学习在信息安全领域有4个主要用例,你可能很快会在身边的企业中看到这些用例。
网络威胁分析
现在企业将越来越多的业务数字化。他们更新旧的并开发新的内部网络(通常是混合网络),这些庞大的网络拓扑不仅复杂,而且还需要大量的网络安全资源来管理所有通信、事务、连接、应用程序和策略。
在企业规模,这意味着巨大的投资-更不用提出错的风险。而网络安全AI通过多种方式可应对这一严峻的挑战。重要的是,网络安全AI可监视所有传入和传出的网络流量,以识别可疑活动并分类威胁类型。
恶意软件检测
恶意软件是故意被设计为恶意的代码或软件类别的总称。恶意软件检测已经存在多年-通常是将可疑代码与基于签名的系统相匹配,而现在机器学习正在将其转向推理技术。
在分析大量数据、事件类型、来源和结果时,网络安全AI会在恶意文件被打开前检测到恶意软件的存在。它还可以识别新型恶意软件,这一点至关重要,因为恶意软件也会借助新技术不断发展,从僵尸程序和僵尸网络到恶意广告、索软件等。
到目前为止,我们已经有恶意软件和良性应用程序的数千万个带有标签的样本,这也使得恶意软件检测成为网络安全中深度学习和AI的最成功用例之一。经过精心训练的算法依赖于大型准确标记的数据集。
安全分析师能力得到增强
网络安全AI最擅长管理潜在威胁媒介的数量。因此,人类分析人员仍然是控制、知识和可解释性的重要仲裁者。现在,机器学习通过两种关键方式增强人类分析师的能力:
- AI自动化重复性任务。例如,它会对低风险警报或繁琐数据填充型任务进行分类,以让分析师去进行更高价值的战略决策。
- 机器学习提高威胁情报起点。其结果是,人类分析师从更高级别的威胁入手,利用机器学习来更快分析、整理、可视化和提出潜在行动。
测试表明,理想的网络安全性能或准确性,通常需要结合人类和AI -并非单靠其中一者。在未来几年,对于安全团队而言,增强的安全工具至关重要。实际上,市场上的某些技术已经支持UI工具,以使网络专家能够结合新的威胁类型来重新训练机器学习模型,并根据问题配置特定的修复程序。
基于AI的威胁缓解
网络安全技术和风险与AI同步发展。如今,企业必须训练机器学习算法以识别其他机器学习算法所进行的攻击。例如,攻击者被发现使用机器学习来识别企业网络中的薄弱环节。他们利用这些信息通过网络钓鱼、间谍软件或分布式拒绝服务攻击来入侵企业。
其他威胁行为者已经开发智能恶意软件(甚至是人工黑客),以针对受害者的特定情况量身定制攻击。基于AI的攻击证明了AI的共同价值主张:快速可扩展性、行为分析和个性化。这些功能可广泛应用在数据泄露、爆发或其他安全事件中。
企业和攻击者之间的猫捉老鼠游戏代表着网络安全创新中重要而危险的相互作用。企业利用投资进行保护仍然至关重要,尤其是在无法轻松更新或更换旧系统的情况下。
以上用例只是网络安全AI众多应用中的少数应用。但需要注意的是,在任何情况下,机器学习不是万能解决方案,它只是一个工具。并且,请记住:不要将它视为救命稻草,而应将它视为一线希望。尽管供应商大肆宣传,但现实是企业安全环境是巨大的动态网络。企业必须不断监控、审计和更新网络,以抵御持续不断的内部和外部威胁向量。为了定义什么是异常,首先需要定义什么是正常。这是极其困难的,因为计算和经济环境的变化非常快。
传统的基于签名的威胁检测方法(更不用提人类)有盲点,机器学习技术也有盲点。对于任何工具,明确的应用意图都是至关重要的,其输出仅与数据输入一样好。最后,与任何行动-反应一样,人们也有乐观的理由:越来越复杂的威胁正在带来越来越先进的缓解工具。