在現代IT環(huán)境中,網絡威脅日益突出。人們需要探索人工智能在網絡安全中的六個最常見的角色及其產品。
越來越多的企業(yè)采用人工智能技術,為他們在現代IT環(huán)境中的安全工作提供幫助。數據、設備、處理能力、算法和網絡系統(tǒng)的指數級增長(對于21世紀的任何企業(yè)而言都是寶貴的資產)也伴隨著新的風險和漏洞。調研機構Gartner公司在2018年12月發(fā)布的一份報告中稱,數據安全、基礎設施保護和云安全是安全支出增長最快的領域,預計全球企業(yè)2019年將在網絡安全風險管理方面支出約1370億美元。
面對這一現實,很多企業(yè)已經意識到,僅僅采取被動措施是不夠的;它們不僅必須擴展和自動化威脅應對計劃,還必須制定積極的措施。
人工智能的功能是由一系列的技術支持的,比如機器學習、深度學習、計算機視覺和自然語言處理,以檢測模式并作出推論。在網絡安全領域,人工智能在網絡安全中的作用是識別用戶、數據、設備、系統(tǒng)和網絡行為模式,并區(qū)分異常和正常。它還幫助管理員分析大量數據,調查新類型威脅,以及更快地響應和應對威脅。
根據Kaleido Insights公司對網絡安全市場和供應商的研究和分析,以下是六個常見的使用案例,其中一些供應商為下一代網絡安全產品鋪平了道路。
1.安全分析師和加強安全運營中心(SOC)
人工智能在網絡安全中最常見的用例之一是對分析師的支持。畢竟,人工智能不太可能取代有經驗的安全分析師。在機器擅長的領域,例如,分析大數據、消除人員疲勞并使其擺脫繁瑣的任務,這樣他們就可以利用更加復雜的技能(例如創(chuàng)造力、細微差別和專業(yè)知識)來增強人們的能力。在某些情況下,分析人員擴充涉及將預測分析合并到安全運營中心(SOC)工作流中,以進行分類或查詢大數據集。
Darktrace公司的Cyber AI Analyst是一個軟件程序,通過只顯示高優(yōu)先級事件來支持分析師。同時,它查詢海量數據并在整個網絡中樞收集調查背景,進行調查并整理低優(yōu)先級案件。通過分析Darktrace的分析師如何調查警報來訓練在數千個部署中開發(fā)的數據集,Cyber AI Analyst使用多種機器學習、深度學習和數學技術來處理n維數據,以機器速度生成數千個查詢,并進行調查所有并行威脅。
2.新的攻擊識別
盡管惡意軟件或其他類型的威脅檢測已經存在了很多年,通常是將可疑代碼與基于簽名的系統(tǒng)相匹配,但人工智能現在正在將技術轉向推斷,以預測新的攻擊類型。通過分析大量的數據、事件類型、來源和結果,人工智能技術能夠識別新的攻擊形式和類型。這一點非常關鍵,因為攻擊技術會隨著其他技術的進步而不斷發(fā)展。
FireEye公司在其MalwareGuard產品中提供了一種新的攻擊識別示例。它使用機器學習算法來發(fā)現新的、變形的或高級的攻擊,其中簽名尚未被創(chuàng)建或尚未存在。其引擎利用了私人和公共數據源,其中包括大約1700萬個部署的端點安全代理、基于超過100萬個攻擊響應小時的攻擊分析,以及通過全球和多語種安全分析網絡收集的情報。
3.行為分析和風險評分
行為分析技術已經在一些不那么關鍵的領域(比如廣告領域)中率先出現,現在正朝著身份認證和反欺詐的關鍵用例發(fā)展。在這里,人工智能算法挖掘大量的用戶和設備行為模式、地理位置、登錄參數、傳感器數據以及大量數據集,以獲得用戶真實身份。
萬事達卡公司的NuData Security是一個利用多因素大數據分析來評估風險,并為端點和用戶安全性開發(fā)每個事件的動態(tài)配置文件的平臺。該公司使用機器和深度學習來分析四個領域:
(1)行為數據:瀏覽器類型、流量變化、瀏覽速度和頁面停留時間。
(2)被動生物識別技術:用戶的鍵入速度、設備角度、擊鍵和壓力。
(3)設備智能:特定設備的已知連接與新連接、位置和網絡交互。
(4)行為信任聯盟:萬事達卡(Mastercard)的大數據存儲庫,可在人口級別分析數十億個數據點。
4.基于用戶的威脅檢測
從內部威脅到特權濫用和管理濫用再到黑客,人類是網絡風險的重要而多樣的載體。因此,人工智能技術應運而生,以檢測用戶在IT環(huán)境中的交互方式的變化,并描述他們在攻擊環(huán)境中的行為特征。
LogRhythm公司正在使用其下一代SIEM平臺CloudAI來進行基于用戶的威脅檢測。具體來說,該公司將不同的用戶帳戶(VPN、工作電子郵件、個人云存儲)以及相關的標識符(例如用戶名和電子郵件地址)映射到實際用戶的身份,以建立全面的行為基準和用戶配置文件。此外,CloudAI旨在隨著時間的推移而發(fā)展,以用于當前和將來的威脅檢測。分析師在正常的調查過程中對系統(tǒng)進行培訓,并從整個平臺的擴展客戶群中收集數據以進行威脅培訓。CloudAI還可以配置模型以通過連續(xù)調整進行自我修復,而無需人工干預。
Vectra AI公司通過分析攻擊生命周期對這種用例采用了差異化的方法。使用大約60種機器學習模型來分析攻擊者在攻擊生命周期中可能執(zhí)行的所有行為,其中包括遠程訪問工具、隱藏通道、后門、偵察工具,憑證濫用和過濾。該公司聲稱,其Cognito平臺顛覆了傳統(tǒng)的基于用戶的威脅檢測方法,為防御者提供了多種機會來檢測攻擊者。
5.跨端點終止鏈的設備上檢測
移動設備在企業(yè)中的興起,開啟了網絡安全威脅的新時代,改變了端點安全的本質。企業(yè)通常管理傳統(tǒng)的端點,比如筆記本電腦,而現在的移動“系統(tǒng)管理員”是最終用戶。無論是員工、消費者還是黑客,都會采用下載、應用程序、通信渠道和網絡交互等服務。此外,應用程序通常都在自己的容器中,這限制了傳統(tǒng)的補丁管理。這種根本不同的配置意味著,攻擊者的目標是通過提供根訪問漏洞來持久化,從而危害整個設備,同時有效地避開企業(yè)網絡。因此,移動端點保護必須保護整個殺傷鏈——從仿冒應用程序或網絡的釣魚嘗試到各種不同的惡意攻擊類型。在這里,管理員將機器學習應用于每個攻擊向量,而不是為每個攻擊向量部署不同的檢測系統(tǒng),以便預測任何給定點交互威脅系統(tǒng)接管的可能性。
Zimperium公司是一家專門從事移動終端安全的公司,它使用機器學習在整個移動殺傷鏈中提供設備上檢測,監(jiān)控所有惡意軟件、網絡釣魚、設備、應用程序和網絡交互。雖然目前沒有在設備上運行機器學習模型,但Zimperium在通過基于云計算的深度學習技術派生的設備上部署了基于機器學習的檢測技術,在7000萬多臺設備上使用,它監(jiān)控來自所有惡意軟件、網絡釣魚、設備、應用程序、網絡交互的所有矢量的匿名數據,使用云計算技術分析特定的攻擊路徑,識別來自信號的噪聲,運行測試場景,并部署分類器以改進邏輯和算法,然后應用于設備上檢測。這個循環(huán)對于在當前和新的威脅類型(貫穿整個殺傷鏈)攻擊或實現持久接管之前進行檢測至關重要。
6.斷開連接的環(huán)境中的主動安全性
隨著數據和設備滲透到物理世界,保護和減少平均檢測和響應時間的能力成為連接和計算能力的問題。越來越復雜的技術基礎設施意味著對其運營的安全性和效率的更大需求,這些基礎設施可以在航空、能源、國防和海事等關鍵任務環(huán)境中實現數據價值。在這些環(huán)境中,計算密集度更高的人工智能應用程序仍處于萌芽狀態(tài),但新技術不斷涌現,可以通過本地支持促進基于機器學習的腳本、文件、文檔和惡意軟件分析的安全性。
SparkCognition公司自稱是一家人工智能公司,而不是一家安全公司,該公司支持在斷開連接的環(huán)境中使用的應用程序。當地911調度中心采用其應用程序管理其托管的敏感信息。SparkCogniTIon公司的DeepArmor通過現場管理控制臺運行。具體來說,DeepArmor使用機器學習對大約20,000個獨特文件功能進行靜態(tài)文件分析,以確定在幾秒鐘內惡意活動的可能性。盡管管理人員必須在這些環(huán)境中人工執(zhí)行模型更新,但DeepArmor沒有簽名要求,這意味著它不需要每日簽名掃描。
人工智能在網絡安全中的作用正在擴大
當然,還有其他一些規(guī)模較小的用例可用于將機器學習和深度學習應用于網絡安全需求,其中包括以下內容:
?大數據查詢的生成和分析
?威脅擴散和擴散檢測
?自主響應
?代理合并和跨其他安全工具的部署
?威脅阻止自動化
?惡意軟件分類
?攻擊分類(未知、內部、持續(xù))
?假陽性減少
?產品自我修復
?機器數據理解(超過800種不同的設備類型)
?加密的流量分析
?政策合規(guī)性分析
?網絡風險保險
?增強網絡風險盡職調查(合并和收購前)
盡管機器學習具有很大的潛力,但它并不是靈丹妙藥,它只是一種工具。人工智能取決于數據的質量,而在安全性方面,這不僅僅意味著大數據,還意味著多語言的實時數據,最重要的是良好的數據。它的成功需要安全專家和數據科學家之間的合作。
盡管有很高的營銷要求,但現實情況是,企業(yè)安全環(huán)境是巨大的、動態(tài)的網絡,管理人員必須根據持續(xù)的、不可預測的、內部和外部的威脅向量不斷地監(jiān)視、審計和更新。人工智能在檢測、調查和應對威脅的能力方面引入了各種增強功能,但它是人員與技術的結合,能夠在不斷發(fā)展的安全環(huán)境中真正管理全方位的威脅。