网络犯罪分子不断寻求新的方法来实施攻击,但由于人工智能(AI)及其子集机器学习,自动抵御这些攻击成为可能。
秘密在于机器学习能够监控网络流量,并了解系统内的正常情况,使用这些信息来标记任何可疑活动。正如该技术的名字所暗示的那样,它能够利用企业每天收集的大量安全数据,随着时间的推移变得更加有效。
此时,当机器发现异常时,它会向人类(通常是安全分析师)发送警报,以决定是否需要采取措施。但一些机器学习系统已经能够自行响应,例如限制某些用户的访问。
人工智能在安全领域取代人类吗?
谈论自动化和人工智能通常会导致失业,但对于安全行业来说,机器学习正在被部署来补充现有的专业知识,而不是取代它。
这些系统并不是为了自主工作而设计的,而是为了处理那些分散人类工作者有效工作注意力的任务。例如,人工智能非常擅长处理数据,然后可以用于进一步的分析,这是一项仍然非常需要人类的任务。
然而,根据Moonpig网络安全负责人塔什·诺里斯(Tash Norris)的说法,人工智能数据分析还可以提供其他好处。作为IT Pro小组的一员,他说“分析师自然会寻找他们以前见过的相关性,或者他们期望看到的相关性”。
“人工智能的真正实现应该能够得出‘无偏’的相关性,从你拥有的数据集带来更多价值。”
小组成员一致认为,部署人工智能和机器学习系统最明智的地方是在检测和响应功能的广泛类别中,包括像SIEM、SOAR和EDR这样的任务。通过自动化这些更加手动的过程,员工可以解放出来处理更危险的威胁,使用人工智能作为力量倍增器来扩展安全团队的能力。
Darktrace的技术总监戴夫帕尔默(Dave Palmer)表示:“拥有机器学习可以让公司更有效地确定优先级。我们不排除人为风险决策,但我们允许战术灭火,因此安全团队可以在自己的时间范围内完成工作。”
这家总部位于剑桥的人工智能初创公司最近与微软合作,为过渡到云的组织提供人工智能增强的网络安全。该合作伙伴关系专注于解决电子邮件安全、数据集成以及简化的安全工作流等“关键领域”的安全挑战。这包括微软的Azure hosting Antigena Email,它使用Darktrace的人工智能技术来阻止最先进的电子邮件威胁,该产品也在Azure Marketplace上上市。
Darktrace电子邮件安全产品总监Dan Feinat警告说,这家人工智能初创公司每天都目睹“攻击者冒充首席执行官或侵入供应商的账户,发送看起来合法的有针对性的热门电子邮件”。
“随着这些攻击变得越来越复杂,员工教育和意识是不够的。答案在于技术,”他补充道。
英国网络安全初创公司Cyberlytic的首席执行官斯图尔特·莱德劳也主张使用机器学习来减轻安全分析师的工作量。“这是关于减少噪音:这些人忙于他们的日常工作,他们不能对所有事情做出反应。我们使用机器学习来做分诊。”
云安全公司ProtectWise的联合创始人Gene Stevens表示,机器学习显示出最大潜力的地方是解释许多不同专家系统的输出并将其整合在一起。“人类花了很多时间试图将其合理化。机器学习擅长采用这些模式并组织数据,因此人类可以对网络上的流量进行高度整合。”
机器学习也可以用于用户行为分析。例如,Auriga Consulting的首席技术官贾马尔埃尔默拉斯(Jamal Elmellas)表示:“如果有人每天在08:55登录,然后时间变成了01:00,系统会将此标记为可疑行为。”
如何在网络安全中部署机器学习
随着技术的不断发展,可行用例的数量也在增加。
其中一个例子是异常检测,它正在被自动化改造。这在很大程度上是由于将技术应用于任务相对容易,因为您可以通过相当少的培训来启动系统。
剑桥VASCO创新中心(VASCO Innovation Centre)的安全架构师史蒂文·默多克(Steven Murdoch)表示:“你为它提供了一系列数据,并标出了看起来不寻常的东西。”。“然后可以将其用于入侵保护。”
机器学习也可以低成本获得:像云一样,产品通常可以免费试用。此外,Laidlaw说,亚马逊网络服务(AWS)等公司提供了人工智能组件。“一些解决方案只要插上电源,你就可以让几个数据科学家来发现异常。”
帕尔默建议:“了解它如何适合你的业务。人工智能作为一个领域是非常包容的;书籍和培训课程都可以在网上获得。”
当然,与任何新技术一样,您需要克服一些缺陷。并非每个专家都相信机器学习在网络安全方面有着光明的前景,因为网络罪犯也可以使用人工智能攻击公司。这包括黑客可能欺骗一个防御系统,并使其对抗其所有者。
机器学习也有其局限性。SecureData首席安全策略官查尔·范德沃尔特(Charl van der Walt)表示,许多网络攻击不符合机器学习训练识别的模式。“对手很灵活,一直在变化。因此,很难找到存在对抗模式的数据集。”
蒂赛德大学(Teesside University)机器智能研究小组组长曾益峰(Yifeng Zeng)博士表示,使用数据进行准确预测是头号挑战。此外,他说:“使用机器学习,公司声称他们可以处理以前的攻击,但他们将如何处理新的攻击?网络安全的重要问题是预测未来的攻击。那么,我们如何使用以前的数据来识别意外模式?”
网络安全中机器学习的未来
尽管面临挑战,网络安全专家相信机器学习将继续存在。随着技术的进步,可能会出现了解他们何时受到攻击并采取措施保护自己的程序。
与此同时,帕尔默表示:“机器可以研究人类对不同类型攻击的反应方式及其调查方式。例如,他们可以提出建议,例如,“处于您的情况下的人接下来会采取这些步骤”,以一种上下文有用的方式充当教练或传声筒。”
此外,有人建议,不久将部署机器学习系统,以欺骗对手,而不仅仅是利用它预测什么是坏事。
范德沃尔特说:“这需要人为地重塑你的环境,使其成为一个移动的目标,并鼓励对手追逐大量的转移注意力的行为。”。
这可能包括为对手创建假目标,例如看起来真实但实际上不是的文件和系统。“这是对机器学习的另一种思考方式:欺骗是一种防御策略。”
回到今天,人工智能和机器学习如何成为公司网络安全战略的一部分?它有很大的潜力,但该技术不能成为公司的唯一安全手段;这是整体防御的一部分。就目前而言,莱德劳建议:“知道你的皇冠上的宝石在哪里,保护最有价值的东西,把人工智能作为保护的一部分。”