物联网设备是为了执行特定功能而创建的,因此它们的技术规格自然非常有限。它们与配备强大处理器和大数据存储的智能手机或平板电脑不同。在这些设备上安装加密和入侵检测系统等传统安全机制是不切实际的。在里面安装完整的安全解决方案是不可能的,更不用说人工智能系统了。
然而,这并不意味着人工智能不能用于保护物联网设备,或整个物联网生态系统。以下概述了物联网人工智能解决方案如何利用人工智能的优势,来保护物联网和其他低资源设备,包括执行器、传感器、可穿戴设备和微控制器。
建立安全活动基线以检测异常情况
物联网的顶级安全人工智能解决方案之一是异常检测,它不仅仅基于规则和威胁签名。即使事先不了解此类威胁,人工智能也可以通过研究行为来检测潜在威胁。使用人工智能的高级安全解决方案,可以扫描网络活动和设备行为,以建立常规或安全活动的基线。有了这个安全活动和行为的基准,就可以更容易地发现恶意活动并做出相应的响应。
人工智能收集有关设备行为、环境条件、网络流量以及其他可被视为威胁或攻击的相关方面的数据。然后,通过异常检测算法处理数据,以查找恶意行为或攻击迹象,例如异常数据移动、对更多权限的请求增加或升级的特权,以及尝试访问功能不需要的数据。
一两个异常行为实例可能不是真正的威胁,因此检测模式或特征非常重要。如果这些良性实例被视为威胁,结果可能是过多的误报,这可能会对事件响应产生负面影响。由于涉及的设备数量众多,在监督物联网安全时,对误报或不准确的安全警报的警惕尤为重要。
手动设置安全活动基线是不切实际的,在某些情况下实际上是不可能的。人类安全分析师不太可能充分涵盖企业网络中的所有活动,特别是当涉及的物联网设备数量不断增加时。创建区分安全活动与有害或恶意活动的相应规则或参数将极其困难。人工智能辅助异常检测可以说是唯一可行的选择。
自动连续监测
如今,拒绝使用新工具和技术来应对网络威胁是不明智的。有效的物联网安全需要持续监控,这只有通过自动化和人工智能才能实现。人工智能驱动的安全解决方案可以持续监控资源匮乏的设备,而无需在其中安装客户端。他们可以观察各种活动并分析结果数据以检测潜在威胁。
只有通过自动化和持续监控,才能及时检测和解决的物联网设备活动的一个例子是违反通信模式。检查日志可能会发现违规行为,但如果组织只是定期执行日志分析,则可能已经太晚了。持续监控确保及时发现和纠正安全问题。
自动和连续的监控对于检测多个事件的异常存在也很重要,例如大量文件加密和删除,这可能表明正在进行的勒索软件攻击。同样,持续监控活动以发现某些事件的异常缺失也很重要,例如更新请求失败、变量检测的非典型值(可能需要与内部IPC的异常连接)、多个变量的新组合以及命令执行序列异常。
主动威胁检测和响应
人工智能使物联网安全监控在三个主要方面具有主动性:获得有用的见解,防止新出现的问题恶化,并确保适当地解决危险信号。
第一个是能够在大量安全警报和事件信息中获得有意义的见解。处理物联网设备通常意味着可能会被大量不相关的信息淹没,这会减慢安全事件的分析和检测速度。人工智能允许企业关联数据,并仅提取与建立可靠的安全态势相关的信息。人工智能驱动的安全工具甚至可以提供可行的见解,以便轻松应对威胁。
人工智能还有助于阻止外泄威胁恶化为更严重的问题。例如,当设备发生故障时,传统的网络安全系统可能不会将该事件视为潜在威胁。通过人工智能,可以自动获取故障的详细信息,并列出可能对系统造成的影响。这使企业能够解决看似微不足道,但可能是严重攻击先兆的问题。
另一方面,人工智能在揭示事件或优先处理传统安全解决方案中经常忽略的关键警报方面发挥了重要作用。例如,在网络管理员没有注意到的情况下,物联网地址可能会发生重复身份验证尝试和IP地址的异常变化。这些可能意味着设备用户和IT团队眼皮底下可能出现的安全漏洞。人工智能支持的安全解决方案可以检测这些实例,并向安全团队明确表示,不应该经常忽视或忽视这些情况。
人工智能在应对涉及设备的威胁方面做出了重大贡献,而在网络安全方面,这些设备通常很少受到关注。它有助于主动缓解威胁,以最大限度地提高安全性和网络完整性。
总结
随着物联网的采用呈指数级增长,强调保护这些低资源设备的必要性非常重要。它们可能会带来严重的风险,尤其是在它们经常被忽视网络安全的情况下。这些设备往往被添加、删除或重新添加到网络中,而没有努力确保它们是安全的。因此,采用一种安全策略至关重要,该策略可以对无法运行常用防御解决方案的低资源设备实施安全控制。
这就是人工智能提供有效且易于实施的解决方案的地方。人工智能驱动的网络安全平台可以提供自动、持续的异常检测、行为分析以及主动应对威胁的方法。将人工智能解决方案集成到物联网安全结构中,可以构建更具弹性和安全的物联网生态系统。