对于任何组织来说,机器学习都是一种有价值的工具,可以通过自动化和异常行为检测,在更可扩展和更有效的基础上保障物联网设备的安全。
IT 团队正在努力针对不断扩展的企业网络上的大量设备制定适当的安全策略。保护物联网投资对于企业生存和增长至关重要,但物联网安全提出了独特的挑战。
物联网安全的机器学习 (ML) 方法可以解决其中的一些挑战。它解决了识别网络上未知设备的问题,确保它们包含在现有的安全框架中,并使繁忙的 IT 团队更轻松地管理物联网。
物联网安全中的机器学习
物联网设备通常是企业网络中最薄弱的环节,但它们对企业的用处是无限的。加上它们的可扩展性,不难理解为什么企业会继续扩大其使用范围。网络安全团队需要额外的技术来跟踪所有设备并确保网络安全。
在一般层面上,机器学习可以通过自动扫描和管理整个网络中的物联网设备来保护物联网。他们可以扫描网络上的所有设备,在 IT 团队意识到之前自动关闭攻击。这就是 2018 年微软 Windows Defender 软件在 30 分钟内关闭木马恶意软件攻击时发生的情况。
更深入地看,机器学习有助于识别网络上的所有设备,包括那些仅间歇性连接的设备。它可以根据预先设置的规则自动将设备添加到适当的网段,从而自动推出网络分段策略。 IT 团队可以腾出时间从事更有价值的技术项目,并更快、更有效地管理公司的整体网络安全战略。
网络安全中的人工智能
深入了解物联网安全中的机器学习
机器学习帮助物联网安全团队根据之前的行为做出智能预测和响应。在已知漏洞和攻击的情况下,例如分布式拒绝服务,它将当前网络行为与攻击示例中的行为模式进行比较,并采取保护措施。
AWS IoT Device Defender、Extreme Networks 解决方案或 Microsoft 的 Azure 物联网安全中心等服务为物联网安全提供机器学习功能,包括设备级异常检测和自动威胁响应。
在 Microsoft 的 Windows Defender 示例中,客户端和基于云的机器学习系统自动将当前网络使用情况与 30 个并行安全保护模型进行比较。其中一些模型使用数百万个因素来确定已知攻击的积极或消极行为。
为了防止未知漏洞和零日攻击,机器学习模型会监控 IoT 设备和网络活动,以实时检测异常行为并立即采取保护措施。许多机器学习系统每天都会自动更新以跟上不断变化的威胁形势,这使得机器学习成为保护复杂网络的理想选择。它会立即查看 IoT 车队的大量数字足迹,并将车队的行为与已知威胁和历史行为进行比较。只有使用机器学习系统的网络才能如此迅速地采取行动,在威胁通过 IoT 设备侵入主要企业网络之前发现威胁。
机器学习在物联网安全中的优势
机器学习在物联网安全方面的主要优势在于它扫描、检测和保护设备和网络的速度。它可以为所有网络带来现代安全模型和框架,包括那些仍在使用传统技术和物联网设备的网络。
以下是对机器学习的两个优势的仔细研究:
1、查找和识别网络上的所有物联网设备
考虑到 IoT 机群的庞大和复杂程度,IT 团队可能不了解当前网络上的所有 IoT 设备,尤其是那些间歇性连接或使用传统协议发送或接收数据的设备。从安全角度来看,它们是“隐藏的”,直到它们变得活跃或成为攻击的目标。
机器学习可以识别网络上的 IoT 设备,因为它会自动扫描和比较历史网络行为。例如,如果机器学习模型知道每个月某一天特定位置的网络流量增加,它就可以检测到潜在的隐藏设备。然后,IT 经理可以派一个团队亲自检查位置以验证设备并将其纳入未来的安全计划。
2、更高效地将物联网设备添加到网段
创建网段只是任务的一部分; IT 团队必须向分段添加设备才能正常工作。对于网络上数量庞大的物联网设备来说,这是一个挑战。将机器学习与网络分段相结合,可以更轻松、更高效。
团队可以设置分段和边缘设备规则来启动,然后机器学习模型将相应地自动监控、扫描和保护设备。当设备连接时,机器学习系统会根据这些规则自动将它们放入适当的安全组中。这使 IT 人员能够腾出时间从事更有价值的技术活动和战略,同时仍然保持物联网设备的相关和更新的安全性。
机器学习在物联网安全中的劣势
机器学习可以识别遗留物联网设备,甚至可以与它们进行通信;但是,如果它们太旧或未更新,则很容易受到攻击。 机器学习系统必须设置为识别旧设备,然后在设备不再连接时提醒 IT 管理员。否则,设备可能只是成为“以前连接过的”报告中的一个条目,可能无法及时捕获以防止攻击。
同样,车队中物联网设备的多样性可能使机器学习保持最新状态具有挑战性。根据所使用的机器学习服务,该模型可能会按与不断变化的威胁格局不匹配的时间表更新其设备兼容性列表。机器学习今天可以扫描和保护的设备明天可能会有所不同。 机器学习的好坏取决于支持它的系统和安全模型。
许多物联网设备需要超可靠、低延迟的通信,例如敏感的手术设备、流水线生产系统和交通监控系统。组织或个人通常 24/7 全天候使用这些设备,这意味着机器学习协议无法设置为在非工作时间运行。 机器学习支持的扫描或监控协议可能会占用这些设备的宝贵带宽,使它们在此期间速度过慢甚至无法运行。IT 团队在实施其机器学习策略时需要了解 IoT 设备的作用和用途。因为,典型设置可能不起作用。