人工智能 ML和自動(dòng)化如何改善網(wǎng)絡(luò)安全保護(hù)

傳統(tǒng)的網(wǎng)絡(luò)安全工具，如反惡意軟件軟件或登錄審計(jì)，在2020年是不夠的，需要額外的資源來(lái)保護(hù)組織及其員工免受網(wǎng)絡(luò)威脅。人工智能（A I）和機(jī)器學(xué)習(xí)（M L）正在網(wǎng)絡(luò)安全空間中取得富有成效的進(jìn)展。

我與AI解決方案提供商Fusemachines的技術(shù)副總裁Anish Joshi和SumoLogic安全業(yè)務(wù)部門的總經(jīng)理格雷格·馬丁（Greg Martin）進(jìn)行了交談，以獲得他們對(duì)這一主題的投入。采訪被輕輕地編輯了。

斯科特·馬特森：網(wǎng)絡(luò)安全的共同痛點(diǎn)是什么？

Anish Joshi：應(yīng)用程序中的安全風(fēng)險(xiǎn)在數(shù)量和復(fù)雜性方面都在不斷增加。隨著Web、移動(dòng)甚至物聯(lián)網(wǎng)（LoT）等技術(shù)的出現(xiàn)，應(yīng)用程序已經(jīng)滲透到個(gè)人和職業(yè)生活中，因?yàn)樗鼈儗⒓夹g(shù)用于各種不同的目的，可能會(huì)增加其損壞的足跡。也許沒(méi)有哪個(gè)組織沒(méi)有自己的應(yīng)用程序。然而，由于技術(shù)熟練人員短缺等問(wèn)題，易受威脅的應(yīng)用程序數(shù)量急劇增加，而技術(shù)熟練人員的專門知識(shí)是建立和保護(hù)這類軟件所必需的。還有一種趨勢(shì)是通過(guò)外包降低應(yīng)用程序開(kāi)發(fā)成本，導(dǎo)致創(chuàng)建低質(zhì)量的軟件。

一個(gè)更可怕的事實(shí)是，應(yīng)用程序安全和隱私正在被缺乏資源來(lái)解決這些問(wèn)題的初創(chuàng)企業(yè)所忽視，并且往往在殘酷的環(huán)境中陷入激烈的競(jìng)爭(zhēng)。

這一切都?xì)w結(jié)為沒(méi)有深入的網(wǎng)絡(luò)安全戰(zhàn)略。隨著技術(shù)滲透到企業(yè)的每一部分，網(wǎng)絡(luò)安全管理成為一項(xiàng)非常繁瑣和苛刻的任務(wù)。許多公司缺乏可靠和系統(tǒng)的基于風(fēng)險(xiǎn)的安全戰(zhàn)略。許多應(yīng)用程序還缺乏應(yīng)用程序安全程序，只有少數(shù)應(yīng)用程序、處理的數(shù)據(jù)和實(shí)現(xiàn)的安全控制有更新的積壓。在沒(méi)有任何適當(dāng)知識(shí)的情況下保護(hù)這些應(yīng)用程序似乎是不可能的。

格雷格·馬?。汗粽咭呀?jīng)學(xué)會(huì)了在很大程度上自動(dòng)化他們的攻擊，使攻擊的頻率增加了一個(gè)數(shù)量級(jí)。正因?yàn)槿绱?，警?bào)疲勞、假陽(yáng)性警報(bào)、純粹的攻擊量和可用于分析的原始數(shù)據(jù)量使作出相應(yīng)的反應(yīng)成為人類幾乎不可能完成的任務(wù)。這一切都被公認(rèn)的網(wǎng)絡(luò)安全中的技能差距/人才短缺放大了。

參見(jiàn)：2020年網(wǎng)絡(luò)安全：八個(gè)可怕的預(yù)測(cè)（Tech Republic）

斯科特·馬特森：最普遍的風(fēng)險(xiǎn)是什么？

阿尼什·喬希：最普遍的風(fēng)險(xiǎn)是通過(guò)釣魚(yú)郵件竊取私人和機(jī)密信息。當(dāng)一家公司的員工打開(kāi)釣魚(yú)電子郵件時(shí)，這會(huì)導(dǎo)致惡意軟件滲透到公司的計(jì)算機(jī)系統(tǒng)中，最終導(dǎo)致它損失了大量的金錢、商業(yè)秘密以及它的名稱和聲譽(yù)。

這不僅影響到整個(gè)公司，也影響到個(gè)人，因?yàn)樗麄兊碾[私受到侵犯，他們的信息可以被用來(lái)實(shí)施欺詐。其中一個(gè)例子就是從他們的賬戶里偷錢。

格雷格·馬?。汗舻膹?fù)雜性每天都在進(jìn)步，我們看到無(wú)文件攻擊的顯著增加，這越來(lái)越使攻擊者“活在陸地上”，這意味著他們正在利用現(xiàn)有的腳本功能，如Power Shell和現(xiàn)有的網(wǎng)絡(luò)管理工具，在企業(yè)網(wǎng)絡(luò)中傳播和橫向移動(dòng)。由于這種微妙的活動(dòng)，需要更多的安全工具來(lái)檢測(cè)和響應(yīng)，這將為已經(jīng)過(guò)度工作、人手不足的SOC[安全操作中心]團(tuán)隊(duì)產(chǎn)生更多的警報(bào)和復(fù)雜性。

斯科特·馬特森：人工智能和ML如何幫助解決這些問(wèn)題？

安尼什·喬希：數(shù)據(jù)并不短缺或不可用，尤其是在這個(gè)數(shù)字時(shí)代。人工智能和ML可以通過(guò)處理和分析大量數(shù)據(jù)來(lái)發(fā)現(xiàn)異常趨勢(shì)、行為和模式，這就是所謂的異?；蚱墼p檢測(cè)。它是幫助金融界制止的重要工具。傳統(tǒng)的方法無(wú)法發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅，因?yàn)榉肿诱诎l(fā)明繞過(guò)防火墻的新方法。因此，各組織需要更好地防范黑客的此類攻擊----他們能夠做到這一點(diǎn)的唯一方法是使用人工智能和ML技術(shù)，這些技術(shù)足夠復(fù)雜，足以解決隨著時(shí)間的推移而不斷演變的問(wèn)題。

格雷格·馬丁：提供警報(bào)的自動(dòng)分析使分析人員能夠切斷噪音，并對(duì)呈現(xiàn)最大組織危險(xiǎn)的警報(bào)進(jìn)行分類。人類根本不能像機(jī)器學(xué)習(xí)驅(qū)動(dòng)的自動(dòng)化引擎那樣快速或有效地處理和分析數(shù)據(jù)，人類也不能像自動(dòng)化那樣快速地滿足需求。自動(dòng)化可以用于方便ML驅(qū)動(dòng)的安全事件分類和惡意行為檢測(cè)..

斯科特·馬特森：人工智能和ML如何改進(jìn)網(wǎng)絡(luò)安全措施？

Anish Joshi：密碼保護(hù)、真實(shí)性檢測(cè)、多因素認(rèn)證是網(wǎng)絡(luò)安全中可以實(shí)施的一些措施?？梢允褂肕L算法對(duì)密碼的強(qiáng)度進(jìn)行分類，并幫助建議那些更強(qiáng)、更難猜測(cè)的密碼；它們還允許實(shí)現(xiàn)更復(fù)雜的認(rèn)證機(jī)制，就像使用AI檢測(cè)某些物理特征的生物識(shí)別登錄一樣。這種技術(shù)允許應(yīng)用多因素認(rèn)證，這是一種強(qiáng)大的安全機(jī)制，因此系統(tǒng)變得更難滲透。

格雷格·馬?。篈I/ML和自動(dòng)化大大增強(qiáng)了端點(diǎn)保護(hù)，但在我們看來(lái)，這項(xiàng)技術(shù)的最大好處是指導(dǎo)安全操作，一旦這些威脅擊中企業(yè)，究竟該如何處理。網(wǎng)絡(luò)活動(dòng)的日益復(fù)雜化和持續(xù)性要求安全運(yùn)營(yíng)團(tuán)隊(duì)重新思考如何使用人員、流程和技術(shù)。使用SIEM[安全信息和事件管理]或日志管理工具將警報(bào)關(guān)聯(lián)起來(lái)進(jìn)行人工調(diào)查的陳舊做法已被證明是不稱職的。需要的是對(duì)SIEM/SOC平臺(tái)的重新設(shè)想的概念，其中智能自動(dòng)化是減輕當(dāng)今分析師面臨的數(shù)據(jù)負(fù)擔(dān)的動(dòng)力。

斯科特·馬特森：減少威脅涉及什么？

Anish Joshi：減少網(wǎng)絡(luò)安全威脅的幾種方法是關(guān)閉不必要的服務(wù)，使用權(quán)限級(jí)別最低的設(shè)置，運(yùn)行定期的系統(tǒng)安全掃描來(lái)保持更新，并確保某些敏感數(shù)據(jù)永遠(yuǎn)不會(huì)從系統(tǒng)中泄露，從而收緊當(dāng)前的安全系統(tǒng)。同樣重要的是，要讓一家公司的員工意識(shí)到某些安全問(wèn)題，比如警惕竊取私人信息的釣魚(yú)郵件，使用難以猜測(cè)的可變密碼，反復(fù)檢查機(jī)密文件、信用卡和徽章等個(gè)人物品是否無(wú)人看管，以加密的格式保存數(shù)據(jù)，以及在任何緊急情況下購(gòu)買網(wǎng)絡(luò)保險(xiǎn)。

格雷格·馬丁：為安全操作提供自動(dòng)化工具，以便在干草堆中找到針頭，并在最需要的地方使用寶貴的人類智力。一個(gè)熟練的SOC分析師是我們?cè)趯?duì)抗威脅方面最好的防御；然而，他們提供的大多數(shù)分析和處理都是平凡的，相當(dāng)于浪費(fèi)人力資本。理想情況下，人類SOC分析師應(yīng)該專注于更先進(jìn)和更有價(jià)值的任務(wù)，如威脅搜索、威脅情報(bào)和歸因。通過(guò)使用自動(dòng)化，這個(gè)想法是讓分析人員自由地完成高度重要的任務(wù)，讓自動(dòng)化完成繁重的工作。

斯科特·馬特森：現(xiàn)實(shí)生活中有什么例子？格雷格·馬丁：這方面的一個(gè)很好的例子是，網(wǎng)絡(luò)罪犯能夠隱藏在無(wú)法控制的警報(bào)數(shù)量和假陽(yáng)性引起的噪音中，供安全行動(dòng)分析。83%的組織承認(rèn)，他們甚至連每天收到的警報(bào)的一半都拿不到（富達(dá)國(guó)際最近的研究）。

我們已經(jīng)看到，在Monero加密貨幣挖掘操作期間，參與者成功地隱藏在噪聲中，在新Linux主機(jī)最初感染后，攻擊者建立了一個(gè)匿名的收入流。感染后，演員使用Haiduc（一種SSH蠻力工具）自我復(fù)制，并利用其他感染機(jī)會(huì)而不被檢測(cè)到。只有通過(guò)自動(dòng)化的跨源源分析，您才能檢測(cè)到高體積、低保真度的事件，并相應(yīng)地進(jìn)行分類。

斯科特·馬特森：壞人如何發(fā)展他們的策略來(lái)克服預(yù)防措施？

阿尼什·喬希：由于人工智能和ML不僅在網(wǎng)絡(luò)安全中被使用，而且在網(wǎng)絡(luò)中也被使用，壞人利用它們來(lái)更好地描述他們的受害者并加速攻擊。同樣可以用于欺詐檢測(cè)的技術(shù)也可以用來(lái)克服現(xiàn)有的安全措施。

格雷格·馬?。汗粽弑旧韺⑹褂酶笮问降淖詣?dòng)化來(lái)增加攻擊的頻率和復(fù)雜性。這將是一場(chǎng)持續(xù)不斷的比賽。

SEE：2020年網(wǎng)絡(luò)安全：更有針對(duì)性的攻擊，AI不是預(yù)防的靈丹妙藥（Tech Republic）

斯科特·馬特森：戰(zhàn)場(chǎng)要去哪里？

Anish Joshi：隨著技術(shù)的快速發(fā)展，世界將通過(guò)計(jì)算機(jī)系統(tǒng)變得更加互聯(lián)，這為網(wǎng)絡(luò)的發(fā)生開(kāi)辟了更多的可能性，因?yàn)閹缀跛械臇|西都可以在黑客的范圍內(nèi)。雖然日益復(fù)雜的技術(shù)將導(dǎo)致更強(qiáng)大和安全的系統(tǒng)，但黑客也將有充分的機(jī)會(huì)利用他們前所未有的力量，以錯(cuò)誤的目的，如實(shí)施欺詐。

下一代網(wǎng)絡(luò)安全產(chǎn)品越來(lái)越多地納入人工智能和ML技術(shù)。在Fusemachines，我們正在幫助公司提高對(duì)機(jī)密數(shù)據(jù)和機(jī)密的保護(hù)。通過(guò)在網(wǎng)絡(luò)安全、網(wǎng)絡(luò)甚至物理信息的大型數(shù)據(jù)集上培訓(xùn)AI軟件，網(wǎng)絡(luò)安全解決方案提供商的目標(biāo)是檢測(cè)和阻止異常行為，即使它不顯示已知的“簽名”或模式。

隨著時(shí)間的推移，公司將把ML納入每一類網(wǎng)絡(luò)安全產(chǎn)品。為了到達(dá)那里，F(xiàn)usemachines正在通過(guò)提供一套專門的顧問(wèn)、人工智能工程師和數(shù)據(jù)科學(xué)家來(lái)幫助公司。

格雷格·馬?。簩⒆詣?dòng)化與分析師并置于第一線。人的安全操作不會(huì)被機(jī)器取代；相反，分析人員的技能和有效性將通過(guò)自動(dòng)化來(lái)提高，使他們能夠卸載數(shù)據(jù)處理和平凡的任務(wù)，并專注于認(rèn)知過(guò)程機(jī)器無(wú)法執(zhí)行。

SEE：如何用欺騙技術(shù)構(gòu)建更好的網(wǎng)絡(luò)安全防御（Tech Republic）

我還從身份治理提供商Sailpoint的首席產(chǎn)品官保羅·特魯洛夫那里聽(tīng)到了他的話：

“讓我們退后一步，看看為什么人工智能（AI）和機(jī)器學(xué)習(xí)（ML）已經(jīng)成為安全的寵兒。這不是因?yàn)闄C(jī)器人正在接管，而是因?yàn)槿祟愓诮庸?。互?lián)網(wǎng)的人口在40億之間，約占世界人口的一半。哪里有人類，哪里就有風(fēng)險(xiǎn)..這意味著網(wǎng)絡(luò)安全已經(jīng)成為我們?nèi)绾翁幚砥髽I(yè)、政府乃至個(gè)人生活風(fēng)險(xiǎn)的第一線。

”對(duì)組織來(lái)說(shuō)，網(wǎng)絡(luò)安全威脅的數(shù)量正在增加，現(xiàn)實(shí)是，如果沒(méi)有人工智能和ML等技術(shù)的幫助，人類就無(wú)法逃脫這一風(fēng)險(xiǎn)。人工智能和ML是一種力量倍增器，因?yàn)樗鼈兪笽T安全團(tuán)隊(duì)能夠通過(guò)快速合成大量數(shù)據(jù)來(lái)檢測(cè)真正關(guān)注的領(lǐng)域，更快地發(fā)現(xiàn)“威脅干草堆”中眾所周知的針頭。這不僅對(duì)IT安全團(tuán)隊(duì)是如此，對(duì)身份團(tuán)隊(duì)也是如此，他們?cè)跀?shù)字轉(zhuǎn)換過(guò)程中面臨著類似的身份多樣性大數(shù)據(jù)問(wèn)題。這意味著必須在更多的應(yīng)用程序（遺留和云）和數(shù)據(jù)（結(jié)構(gòu)化和非結(jié)構(gòu)化）中管理更多的身份（人和非人）。

“我們看到更多的組織將他們現(xiàn)有的身份管理方法提升到下一個(gè)層次。他們正在使用身份來(lái)幫助他們理解誰(shuí)可以訪問(wèn)重要的應(yīng)用程序和數(shù)據(jù)（以及如何使用這種訪問(wèn)），同時(shí)利用AI和ML來(lái)發(fā)現(xiàn)可能對(duì)業(yè)務(wù)構(gòu)成風(fēng)險(xiǎn)或可能標(biāo)志著用戶帳戶受損的用戶訪問(wèn)領(lǐng)域。

“隨著AI和ML作為身份治理計(jì)劃的一部分，企業(yè)有權(quán)管理和發(fā)現(xiàn)有風(fēng)險(xiǎn)的用戶行為，預(yù)測(cè)用戶訪問(wèn)需求，并為通常是數(shù)萬(wàn)或數(shù)十萬(wàn)用戶-人類和機(jī)器人-自動(dòng)化安全過(guò)程。所有這些用戶都可以訪問(wèn)業(yè)務(wù)關(guān)鍵系統(tǒng)和應(yīng)用程序。你也可以打賭，這些用戶正在成為黑客的攻擊目標(biāo)，這就更有理由在網(wǎng)絡(luò)安全和身份板上擁抱AI和ML?！?/p>

通過(guò)跟上最新的網(wǎng)絡(luò)安全新聞、解決方案和最佳實(shí)踐，加強(qiáng)您的組織的IT安全防御。星期二和星期四交貨