人工智能在安全方面的作用对“白帽子”黑客和网络罪犯很有吸引力,但似乎还没有达到平衡。
人工智能由于其潜力,已经成为网络安全开发人员的新财富。它不仅可以大规模自动化功能,还可以根据它在一段时间内学到的知识做出相应的决策。这可能会对安全维护人员产生重大影响——通常,公司没有足够的资源来“大海捞针”恶意软件。
例如,如果一名工作人员通常在纽约工作,一天早上突然从匹兹堡登录,这是一种异常现象——人工智能可以看到这是一种异常现象,因为它已经学会了期望用户从纽约登录。同样,如果用户在匹兹堡登录,几分钟后又在另一个地方登录,比如加利福尼亚,这可能是一个恶意的危险信号。
因此,在最简单的层面上,人工智能和“机器学习”围绕着对行为规范的理解。该系统需要一些时间来观察环境,以了解什么是正常行为并建立基线——这样它就可以通过将算法知识应用于数据集来获得与规范的偏差。
网络安全人工智能可以在许多方面帮助维权者。然而,人工智能的出现有其缺点。首先,网络罪犯也使用了这项技术。显然,它可以用于各种恶意任务。例如扫描开放和易受攻击的端口,或者自动组合电子邮件,这些邮件具有公司首席执行官的准确语调和声音,每天24小时被窃听。
在不久的将来,这种自动模仿甚至可以扩展到语音。例如,IBM科学家为人工智能系统创造了一种分析、解释和反映用户独特语言和语言特征的方法——理论上,这将使人类更容易与他们的技术交流。然而,使用这种类型的恶意欺骗应用程序的可能性是显而易见的。
与此同时,在垂直市场——网络安全和其他领域——采用人工智能的热情打开了一个新的快速增长的攻击面——它并不总是倾向于内置的安全设计。人工智能有能力彻底改变任何行业:为在线购物者提供更明智的建议,加快生产过程的自动化质量检查,甚至跟踪和监控野火的风险。加拿大艾伯塔大学的研究人员正在这方面做更多的工作。
人工智能的这种双重性质——一方面是正义的力量,另一方面是邪恶的力量——还没有找到平衡,但是人们对人工智能的兴趣继续增长。
人工智能的“骄傲之战”
就网络安全的适用性而言,人工智能已经被广泛宣传。由于人工智能依赖于分析大量数据来发现相关模式和异常,因此可能需要了解什么是假阳性,什么在一段时间内没有被包括在特定的规定政策范围内。因此,这对于入侵预防和检测来说可能是不可估量的好处,例如,欺诈检测和根除恶意活动,如DNS数据过滤和凭证滥用。
人工智能算法可以应用于用户和网络行为分析。例如,机器学习观察者、端点和网络设备(如打印机)的活动,以标记潜在的恶意活动。
同样,人工智能在网络行为分析中也发挥着重要作用。它研究用户和网站之间的互动,补充在线欺诈检测。
例如,如果用户登录零售应用程序,在网站上搜索,找到产品以了解更多信息,然后将产品保存在购物车中或结帐。用户现在可以充当购买者来配置行为文件。将来,如果用户在同一电子商务网站上表现出完全不同的行为,这可能会被标记为潜在的安全事件,以供进一步调查。
在DNS中,人工智能系统可以检查DNS流量以跟踪到权威服务器的DNS查询,而不会收到有效的响应。PL Ixer审计与合规部主任贾斯汀·杰特在最近的一篇专栏文章中解释道:“虽然这很难预防,但很容易发现。”。例如,如果序列号0800 fc 577294 c 34 e0b28 ad 283935945。坏人[...] net被多次发送到给定的网络机器,系统将向it专业人员发出警报。"
识别密码泄露和滥用也是一个很好的例子。随着人们的电子邮件和密码在数据泄露后流向黑暗网络,这种攻击越来越普遍。例如,Equifax的漏洞导致数百万封有效的电子邮件被暴露;在2016年雅虎数据披露事件中,攻击者获得了5亿用户的账户信息。因为人们倾向于重复使用密码,罪犯会在不同的机器上随机尝试不同的电子邮件和密码,希望成功。
Jett解释说,为了识别这种攻击,“人工智能在这里很有用,因为它为用户设定了基线。”。“这些用户每天连接并登录多个设备。一个人在服务器上尝试数百次登录是很常见的,但是很难找到一个人尝试在100台不同的机器上连接,并且只成功登录一次。"
人工智能也可以用来自动评估开放源代码中的潜在缺陷。例如,网络安全公司Synopsys正在使用人工智能自动绘制已知漏洞的地图,以打开源代码项目并评估企业的风险影响。例如,它会自动分析数百份法律文件(许可证、服务条款、隐私声明、HIPAA、DMCA和其他隐私法),以确定任何检测到的漏洞的合规风险。
然而,漏洞的另一个应用是审查和预测。如果宣布了一个新的漏洞,日志数据可以用来查看它过去是否被利用过。或者,如果这确实是一次新的攻击,人工智能可以评估证据是否足以确定攻击者的下一步行动。
人工智能也可以很好地完成繁琐和重复的任务——比如找到特定的模式。JASK首席执行官兼联合创始人格雷格·马丁表示,JASK的实施可以缓解大多数SOC面临的资源限制。SOC员工每天都在部署数百个安全漏洞——当然,并非所有的安全漏洞都是真正的攻击。
451 Research的研究主管斯科特·克劳福德在接受采访时说:“安全团队总是被信息淹没。”。“关于对手在做什么、最新的攻击工具、恶意软件的变化以及内部资源生成的大量信息。“在入侵防护领域,生成的日志数据量和警报数量惊人。SIEM市场在某种程度上解决了这个问题,只有在有事情要处理时才会出现——但这还不够。因此,现在我们看到了通过分析和人工智能处理数据和获得意义的新技术的兴起。"
目前,它仍不完美
虽然人工智能在安全领域有许多用途,但公司应该仔细了解它的局限性。这些引擎和输入它们的数据一样好,只需将数据分类,算法就会告诉分析师什么是不寻常的,而不是它们是否重要。为人工智能设定参数的数据科学家需要知道如何提出正确的问题来正确使用人工智能的能力。人工智能应该寻找什么?一旦被发现,人工智能应该做什么?一般来说,编写人工智能程序以获得预期结果需要复杂的流程图。
具体来说,训练人工智能很容易,例如,发现小行星带中的小行星异常移动。但是,如果目标是要知道它是否正朝着地球前进,它将需要仔细调整。
此外,在当今的数字工作场所,有如此多的公司信息,以至于以人类监督的形式监控失败是一个好主意。简单地将网络监控责任分配给人工智能可能会产生意想不到的后果,例如过分主动地隔离文档、删除重要数据或大量拒绝法律信息——这可能会严重影响工作效率。例如,在人工智能的假设下,在之前的登录场景中,员工可能只是在旅行,所以关闭访问可能不是最好的主意。
Astech Consulting首席安全架构师内森·温兹勒在接受采访时说:“没有一台机器能够完美无缺,并解释所有潜在的行为可能性。”。这意味着它仍然需要人们的关注,否则你可能会有很多合法的东西被标记为“坏”或者恶意软件和其他被编码为“好”的攻击。所涉及的算法只能做到这一点,并且随着时间的推移不断改进。然而,攻击也会变得更聪明,并找到绕过学习过程的方法,从而保持有效。"
此外,因为人们仍然需要能够对异常情况做出合理的判断,他们也应该考虑人们需要关注的领域。可以通过快速邮件的形式对员工进行手动调查——这听起来没什么大不了的,除非你认为大公司每隔几分钟就有数百起这样的异常。
jett解释道:“在网络安全中充分利用人工智能的最佳方法是使用监督学习来识别恶意行为的颗粒模式,而非监督算法为异常检测建立了基线。”“短期内,人类不会被排除在这个等式之外。"
(资料来源:大数据观察)
领取专属 10元无门槛券
私享最新 技术干货