随着网络攻击变得更加多样化,网络安全专家需要具备足够的可见性来有效应对漏洞,而人工智能则能协助解决一些人类无法单独应对的问题。
网络安全可以比作一场国际象棋比赛,Palo Alto Networks公司的EMEA首席安全官Greg Day如是说。他表示,攻击者的目标是击败受害者,而受害者则努力阻止攻击者。数据在这个过程中至关重要,既是王者也是最终的奖品。
早在1996年,人工智能国际象棋系统“深蓝”便在第一场比赛中战胜了世界冠军Garry Kasparov。这一事件证明,人工智能可以以编程的方式进行更广泛、更快速和更深远的思考,而如今它在网络安全领域的应用也展现出了类似的潜力。
因此,我们将探讨人工智能在现代网络安全中的具体应用案例。
与员工协作
Day进一步说明了人工智能如何与网络安全人员协同工作,以保障组织安全。
市场上缺乏足够的网络安全专业人员,人工智能就可以在这一领域发挥重要作用。他指出,机器学习作为人工智能的一种形式,能够读取安全运营中心(SoC)分析师的输入,并将其整合到不断扩大的数据库中。
当SoC分析师再次输入类似的症状时,人工智能会利用统计分析和神经网络,提供与之前案例相似的解决方案,从而减少人力需求。
如果没有先前的案例,人工智能同样能够分析事件特征,并根据历史经验推荐最合适的SoC工程师来解决问题。
这一切实际上都是一个机器人过程,结合了人类知识与数字学习,提供更高效的解决方案。
对抗自动化威胁
NetACE的首席数据科学家Mark Greenwood探讨了机器人在网络安全中的优势,并强调企业需要能够区分善恶。
如今,机器人占据了绝大部分互联网流量,Greenwood解释说,大多数都是潜在威胁。从使用被窃取的凭证进行账户接管,到创建虚假账户和欺诈活动,这些行为构成了真正的网络安全风险。
企业无法仅依靠人工反应来应对自动化威胁。要解决这一问题,必须依赖人工智能和机器学习。为什么呢?因为要准确区分善恶机器人与人类,企业需要利用人工智能和机器学习全面分析自己的网站流量。
人工智能能够处理和分析大量数据,使网络安全团队能够根据变化的环境调整技术。
通过监测用户行为模式,企业能够回答以下问题:普通用户的行为路径是什么?不寻常的行为又是怎样的?从中,我们可以了解流量意图,从而抢先应对恶意机器人。
端点保护
SolarWinds安全架构副总裁Tim Brown指出,人工智能在保护端点方面也能发挥重要作用,尤其是在远程设备使用日益增加的情况下。
通过遵循最佳实践并及时更新补丁和其他安全措施,组织能够有效应对威胁,Brown表示。此外,人工智能可能为IT和安全专业人士提供对抗网络犯罪的优势。
以人工智能驱动的端点保护为例,传统的反病毒(AV)解决方案通常依赖签名,因此必须时刻跟进最新的签名定义以保持保护效果。如果签名更新滞后,可能无法有效应对新出现的威胁。
而人工智能驱动的端点保护采用不同策略,通过持续的训练建立行为基线。一旦出现异常,人工智能会标识并采取行动,例如通知技术人员或在勒索软件攻击后恢复安全状态。这种方法提供了主动的防护,而非等待签名更新。
研究表明,人工智能模型在有效性上优于传统的AV解决方案。对于许多由MSP服务的中小型企业而言,人工智能驱动的端点保护通常只需较少设备的成本就能得到应用,因此吸引了较少关注。同时,避免潜在感染带来的清理成本,也能提升客户满意度。
机器学习与短信诈骗
随着越来越多员工在家工作,并频繁使用个人设备,警惕短信中的欺诈行为变得尤为重要。
由于恶意行为者利用COVID-19等事件作为短信钓鱼的诱饵,组织面临着加强防御的巨大压力,MobileIron产品管理高级副总裁Brian Foster表示。
为了保护设备和数据免受这些高级攻击,机器学习在移动威胁防御(MTD)及其他托管威胁检测中的应用将持续演变,成为一种有效的安全手段。
机器学习模型可以快速识别和防范潜在的恶意活动,特别是那些其他解决方案无法及时检测的未知威胁和零日威胁。当通过统一端点管理(UEM)平台部署基于机器学习的MTD时,它还能够增强UEM提供的基础安全性,以支持分层的企业移动安全策略。
机器学习是一项强大而低调的技术,能够在时间推移中持续监测应用程序和用户行为,从而区分正常与异常行为。有针对性的攻击往往会在设备上留下微小的变化,而人类分析师往往无法察觉。只有通过机器学习将数千个设备参数联系起来,才能实现有效检测。
面临的挑战
以上用例和更多实例表明,人工智能与网络安全人员的有效结合是可行的。然而,Panaseer产品副总裁Mike MacIntyre认为,要真正实现这一目标,仍需克服许多障碍。
尽管人工智能展现出广阔前景,但我们必须意识到,目前它并非解决所有网络安全挑战和技能短缺的灵丹妙药,MacIntyre指出。这是因为人工智能目前仅是一个涵盖机器学习技术小部分的术语。关于人工智能的许多宣传多源于企业安全产品对这一术语的使用,以及对其真正含义的误解。
许多现代安全产品中嵌入的算法最多被称为狭义或弱人工智能;它们在特定领域执行高度专业化的任务,并经过大量数据的训练。这与能够执行一般性任务的强人工智能存在显著差距。无论这种系统的实现距离现在有多远,没有CISO应将其纳入3到5年的战略计划中。
另一个影响人工智能有效性的关键障碍是数据完整性问题。如果无法获取相关数据,或不愿在网络上部署相关工具,人工智能产品的部署将毫无意义。安全的未来必然是数据驱动的,而人工智能产品要实现其营销承诺,还有很长的路要走。
