对实际业务利益的追求如火如荼,而在网络安全领域,区分为使用AI技术而部署的情况与识别AI能真正带来改变的应用场景同样重要。将AI赞美为解决所有问题的方案会使情况变得混乱,可能导致错失良机。
然而,在威胁情报领域,AI工具在一些特定方面展示了巨大的前景,特别是在揭示暗网威胁方面。暗网是一个非常复杂的领域,以其匿名性著称,是网络犯罪分子组织和策划攻击的地方。AI在从暗网收集数据、对其进行结构化处理,并最终将其转化为组织可用于制定安全策略的情报方面发挥了重要作用。
暗网是AI的完美应用场景
暗网代表了典型的非结构化、分散且难以分析的数据。从论坛讨论、市场列表到勒索软件团伙的通讯,通常分布在各种平台和语言中,即使是经验丰富的网络分析师也很难理解和导航这一广阔而不断演变的领域。
AI的最大用例是其高效处理、分析和解释自然语言交流的能力。AI算法可以快速识别大量数据集中模式、关联和异常,向网络安全专业人员提供可操作的洞察。这种能力不仅提高了威胁检测的速度和准确性,还使企业能够更主动、更全面地防范来自暗网的威胁。在这种环境中,及早发现威胁和攻击者实现其目标之间的差异可能达到数十万美元。
AI在克服语言障碍中的作用
通过语言翻译可以很好地说明这一用例。暗网是一个全球空间,网络犯罪分子使用各种语言操作,并使用复杂且特定于暗网的俚语。数据显示,暗网上使用的前十种语言是英语、俄语、德语、法语、西班牙语、保加利亚语、印尼语、土耳其语、意大利语、荷兰语和标准汉语。除英语外,俄语是暗网上使用最多的语言,占非英语内容的66%。
但这往往不是书本上的俄语,正如说英语的黑客有自己的俚语、首字母缩略词和代码词,俄语黑客也有他们的,这在历史上对从暗网获取情报造成了挑战,因为一旦安全专业人员捕获到潜在对手之间的对话,他们必须对其进行“解码”。
传统的翻译工具自然无法准确翻译俄语黑客使用的俚语,但是,通过在暗网上使用的俚语术语训练模型,定制的AI驱动翻译工具可以帮助打破这种多语言复杂性并识别隐藏的威胁。
这种基于AI的方法还有潜力提高安全团队的效率和情报的准确性,消除手动复制和粘贴大量内容或使用翻译不准确的术语搜索暗网数据的易出错过程。先进的AI模型,如transformers,可以更好地理解翻译的语义意义,而不仅仅是逐字翻译。通过使用上下文推导意义,AI提高了翻译的准确性,使分析人员能够解释那些可能会被隐藏的威胁。
理解威胁的性质
AI的另一个潜在用例是快速识别和提醒与企业相关的特定威胁,帮助情报优先级排序,AI可以在数据中寻找意图——评估一个行为者是否正在策划攻击,寻求建议,或试图购买或出售访问权限或工具,这些情况中的每一种都表明了不同程度的风险,可以为安全操作提供信息。
例如,初始访问代理的帖子,即网络犯罪分子在暗网上发布的出售对某个企业网络的访问权限的广告。监控这些帖子对于人类分析师来说是一项耗时且手动的任务,因为他们需要每天浏览暗网论坛,从大量噪音中识别相关帖子,但是,AI模型可以被训练识别和提取初始访问代理帖子中的关键组成部分,并识别可能的目标,为该公司提供提前预警,使其能够审查安全协议,提高警戒状态,并开始主动寻找访问迹象。
通过AI增强威胁情报
AI不会成为网络安全的万能药,但它可以在大量非结构化数据导致效率低下的领域发挥作用。安全团队需要监控的威胁源和数据源不断增加,使得提取相关情报变得越来越困难。AI可以通过快速高效地找到最严重的威胁来支持安全分析师。在安全领域,时间至关重要,使威胁情报更快、更准确,因此也更具可操作性,这具有真正的力量。
此外,随着AI创新使情报收集变得更加容易和资源需求减少,很可能会使小型网络安全团队能够进行更复杂的威胁情报活动,例如主动监控暗网中的潜在威胁。这可能使更多公司采用主动的网络安全姿态。随着技术的不断进步,AI在威胁情报中的整合将成为标准。抛开炒作,AI可能成为推动主动暗网监控进入主流的重要催化剂。