人工智能怎樣幫助您先敵制勝，超越網(wǎng)絡(luò)安全威脅

Maria+Korolov+Charles

人工智能和機(jī)器學(xué)習(xí)能夠?yàn)槿耸植蛔愕陌踩块T提供支援——他們希望需要更快速高效地應(yīng)對網(wǎng)絡(luò)威脅。

自從2013年的Target泄露事件以來，人們清楚地認(rèn)識到，當(dāng)今的安全警報(bào)越來越多，企業(yè)應(yīng)該更好地做出響應(yīng)。而今年的勒索軟件攻擊傳播非?？欤弦?guī)要求也越來越嚴(yán)格，企業(yè)也必須要更快地響應(yīng)。通過招聘很難招到網(wǎng)絡(luò)安全員工，因此企業(yè)轉(zhuǎn)向采用機(jī)器學(xué)習(xí)和人工智能（AI）來自動(dòng)完成任務(wù)，更好地發(fā)現(xiàn)不良行為。

什么是人工智能和機(jī)器學(xué)習(xí)？

在網(wǎng)絡(luò)安全環(huán)境中，人工智能是一種軟件，能夠很好地感知周圍環(huán)境，發(fā)現(xiàn)違規(guī)事件，并按照預(yù)定義的目標(biāo)采取相應(yīng)的行動(dòng)。人工智能特別擅長的是對模式進(jìn)行識別并發(fā)現(xiàn)其中的異常，這使其成為檢測威脅非常好的工具。

機(jī)器學(xué)習(xí)經(jīng)常與人工智能一起使用。它是一種可以根據(jù)人類輸入和所采取行動(dòng)的結(jié)果，自己進(jìn)行“學(xué)習(xí)”的軟件。與人工智能一起，機(jī)器學(xué)習(xí)成為基于過去事件來預(yù)測結(jié)果的工具。

使用人工智能和機(jī)器學(xué)習(xí)來檢測威脅

巴克萊非洲（Barclays Africa）正在開始使用人工智能和機(jī)器學(xué)習(xí)來檢測網(wǎng)絡(luò)安全威脅，并對其作出響應(yīng)。巴克萊非洲首席安全官Kirsten Davies說：“現(xiàn)在有很多功能強(qiáng)大的工具，但必須知道怎樣將其納入到非常廣泛的網(wǎng)絡(luò)安全戰(zhàn)略中。”

例如，該技術(shù)可以用于發(fā)現(xiàn)企業(yè)本地網(wǎng)絡(luò)和云端是否出現(xiàn)泄露跡象。她說：“我們正在談?wù)摰氖谴罅康臄?shù)據(jù)。隨著全球威脅態(tài)勢的變化，攻擊方無論是在能力還是在協(xié)作方面都在快速發(fā)展，我們必須使用先進(jìn)的工具和技術(shù)先敵制勝，超越威脅。”

人工智能和機(jī)器學(xué)習(xí)也使她能夠做到讓員工們?nèi)吮M其才。她說：“我們需要的關(guān)鍵技能在全球范圍內(nèi)都是非常缺乏的。我們很早就意識到這一點(diǎn)了，而我們現(xiàn)在還是處于這種情況。我們再也不能繼續(xù)以人工的方式進(jìn)行下去了。”

并非只有銀行如此?？偛吭O(shè)在圣何塞的工程服務(wù)公司Cadence設(shè)計(jì)系統(tǒng)有限公司不斷監(jiān)測威脅，以維護(hù)其知識產(chǎn)權(quán)。3萬臺終端設(shè)備和8千2百個(gè)用戶每天產(chǎn)生了250千兆至500千兆的安全相關(guān)數(shù)據(jù)流——而只有15名安全分析師監(jiān)測這些數(shù)據(jù)流。該公司的首席信息安全官Sreeni Kancharla說：“這只是我們得到的一些網(wǎng)絡(luò)數(shù)據(jù)，實(shí)際上有更多。應(yīng)該采用機(jī)器學(xué)習(xí)和人工智能，這樣就能夠減少實(shí)際問題，更好地解決這些問題。”

Cadence借助Aruba網(wǎng)絡(luò)和惠普的產(chǎn)品，使用這些技術(shù)來監(jiān)視用戶和實(shí)體的行為，并進(jìn)行訪問控制。Kancharla說，該平臺最吸引人的是其無監(jiān)督學(xué)習(xí)能力。他說：“這是一個(gè)不斷變化的環(huán)境。如今，攻擊是如此的復(fù)雜，他們現(xiàn)在做的一些不起眼的小事情可能會(huì)隨著時(shí)間的推移，造成大數(shù)據(jù)泄露。這些工具確實(shí)幫助了我們。”

即使是規(guī)模較小的公司也難以應(yīng)對安全數(shù)據(jù)過多的挑戰(zhàn)。Daqri是一家洛杉磯的公司，為建筑業(yè)和制造業(yè)生產(chǎn)增強(qiáng)現(xiàn)實(shí)眼鏡和頭盔。公司有300名員工，但安全運(yùn)營中心只有一個(gè)人。公司的信息技術(shù)和安全高級主管Minuk Kim說：“我們在發(fā)現(xiàn)并應(yīng)對安全事件方面遇到的難題是需要大量的人力?！?/p>

公司采用了Vectra網(wǎng)絡(luò)的人工智能工具來監(jiān)測工作環(huán)境中大約1，200臺設(shè)備的數(shù)據(jù)流。Kim說：“當(dāng)您監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)流時(shí)，能看到是否有人正在進(jìn)行端口掃描，在主機(jī)之間跳轉(zhuǎn)，或者以非常規(guī)的方法傳輸大量數(shù)據(jù)。”

該公司收集所有這些數(shù)據(jù)，分析它，并將其送入深度學(xué)習(xí)模型中。他說：“現(xiàn)在您能非常清楚地看出哪些數(shù)據(jù)流可能是惡意的?！?/p>

而且要迅速做出反應(yīng)。他說：“這總是涉及到加強(qiáng)檢測和響應(yīng)反饋的能力。這正是人工智能發(fā)揮其長處的所在。如果能縮短檢查所有這些事件的時(shí)間，將極大的提高洞察網(wǎng)絡(luò)中正在發(fā)生的事情的能力，當(dāng)出現(xiàn)嚴(yán)重的泄露事件時(shí)，您便能迅速發(fā)現(xiàn)并作出反應(yīng)，把損失降到最低?！?/p>

網(wǎng)絡(luò)安全越來越多地采用了人工智能

Nemertes Research首席執(zhí)行官Johna Till Johnson證實(shí)說，采用人工智能和機(jī)器學(xué)習(xí)后，公司在快速響應(yīng)威脅方面出現(xiàn)明顯的不同。她說：“這真的有市場。的確有需求，人們也確實(shí)在這么做?！?/p>

Nemertes最近進(jìn)行了一項(xiàng)全球安全調(diào)查，公司發(fā)現(xiàn)攻擊并進(jìn)行應(yīng)對的平均時(shí)間是39天，而有些公司卻能在幾小時(shí)內(nèi)完成。她說：“速度之所以提高了是與自動(dòng)化有關(guān)，如果不使用人工智能和機(jī)器學(xué)習(xí)，則無法實(shí)現(xiàn)自動(dòng)化?！?/p>

以探測為例，她說：“探測的中位數(shù)時(shí)間是一小時(shí)。”表現(xiàn)出色的公司通常在10分鐘內(nèi)完成這項(xiàng)工作——表現(xiàn)不佳的公司則需要幾天到幾周的時(shí)間。機(jī)器學(xué)習(xí)和分析技術(shù)幾乎可以把這一時(shí)間降到零，這就是為什么表現(xiàn)出色的公司速度如此之快的原因所在。

同樣地，在分析威脅時(shí)，中位數(shù)時(shí)間是三小時(shí)。表現(xiàn)出色的公司只需要幾分鐘，而其他公司則需要幾天甚至幾周的時(shí)間。她說，受調(diào)查的公司中已經(jīng)有21%部署了行為威脅分析，另有12%的受訪者表示，他們將在2017年年底前將其投入使用。

她說，金融服務(wù)公司在這方面尤其站在最前沿，因?yàn)樗鼈儞碛懈邇r(jià)值的數(shù)據(jù)，往往在網(wǎng)絡(luò)安全方面處于領(lǐng)先地位，并且有資金投在新技術(shù)上?！耙?yàn)檫@并不便宜。”

當(dāng)涉及到人工智能和機(jī)器學(xué)習(xí)更廣泛的應(yīng)用時(shí)，其使用量甚至更高。據(jù)Vanson Bourne于10月11日發(fā)布的調(diào)查，80%的企業(yè)已經(jīng)在以某種形式使用人工智能。這項(xiàng)技術(shù)已經(jīng)有了回報(bào)，人工智能最大的收獲是產(chǎn)品創(chuàng)新和研發(fā)，50%的受訪者認(rèn)為這項(xiàng)技術(shù)完全改變了產(chǎn)品創(chuàng)新和研發(fā)，其次是46%的受訪者認(rèn)為對客服，42%的受訪者認(rèn)為對供應(yīng)鏈和運(yùn)營產(chǎn)生了積極的影響。安全和風(fēng)險(xiǎn)緊隨其后，40%的受訪者在這些方面獲得了收益。

這些數(shù)字可能會(huì)繼續(xù)上升。據(jù)Spiceworks最近的一項(xiàng)調(diào)查，在員工人數(shù)超過1，000人的企業(yè)中，30%在他們的IT部門應(yīng)用了人工智能，還有25%計(jì)劃明年實(shí)施。endprint

總部位于西雅圖的營銷代理公司Garrigan Lyman部署人工智能和機(jī)器學(xué)習(xí)技術(shù)，用于承擔(dān)一些網(wǎng)絡(luò)安全任務(wù)，包括監(jiān)控不正常的網(wǎng)絡(luò)和用戶活動(dòng)，發(fā)現(xiàn)新的釣魚電子郵件等。該公司的首席技術(shù)官Chris Geiser說，否則，很難跟的上。他說：“黑客們都是志愿軍，不需要太多的教育和知識就能開始攻擊。他們很早就開始自動(dòng)進(jìn)行操作了?！?/p>

人工智能和機(jī)器學(xué)習(xí)給企業(yè)帶來了競爭優(yōu)勢。雖然該公司規(guī)模很小——只有125名員工，但基于云的部署使其能夠使用最新的技術(shù)，而且是快速應(yīng)用。他說：“我們在幾周內(nèi)就能讓這些就緒，運(yùn)行起來，給我們帶來價(jià)值?！盙arrigan Lyman集團(tuán)已部署了Alert Logic和Barracuda的人工智能安全工具，Geiser說他看到產(chǎn)品越來越智能了。

特別是，人工智能有助于讓工具快速適應(yīng)公司的需求，而且不需要大量的前期培訓(xùn)。Barracuda網(wǎng)絡(luò)有限公司的內(nèi)容安全服務(wù)副總裁Asaf Cidon說：“例如，在一些公司中，如果首席執(zhí)行官使用非企業(yè)電子郵件地址，那是不正常的。而在其他公司，首席執(zhí)行官在移動(dòng)設(shè)備上使用他們的個(gè)人電子郵件進(jìn)行通信是完全正常的，但首席財(cái)務(wù)官從他們的個(gè)人地址發(fā)送電子郵件就不正常了，而人工智能模型能夠自動(dòng)學(xué)習(xí)到以上這些情況?！?/p>

云交付的另一個(gè)好處是，供應(yīng)商很容易根據(jù)他們整個(gè)客戶群的反饋來改進(jìn)產(chǎn)品。Geiser說：“網(wǎng)絡(luò)安全很像是鄰里間的相互監(jiān)督。如果我看到街區(qū)那邊有自己不喜歡的東西，就會(huì)提醒大家可能有問題?！?/p>

對于網(wǎng)絡(luò)釣魚郵件或者網(wǎng)絡(luò)攻擊的情況，當(dāng)新威脅在其他時(shí)區(qū)第一次出現(xiàn)時(shí)，發(fā)現(xiàn)它之后，就會(huì)給企業(yè)留有幾個(gè)小時(shí)的預(yù)警時(shí)間。Geiser說，這確實(shí)需要在一定程度上信任供應(yīng)商。他說：“我們調(diào)查了供應(yīng)商的聲譽(yù)，借鑒了其他公司，還進(jìn)行了一些盡職調(diào)查，以確保供應(yīng)商是合適的供應(yīng)商，并按照審核和合規(guī)的最佳實(shí)踐，確保只有合法的人有權(quán)訪問?！?/p>

隨著企業(yè)首先從人工過程過渡到基于人工智能的自動(dòng)化過程，他們需要另一種信任——除了能夠看到供應(yīng)商的運(yùn)營情況外，還要求實(shí)現(xiàn)人工智能決策過程的可視化。Respond Software公司首席執(zhí)行官和聯(lián)合創(chuàng)始人Mike Armistead說：“現(xiàn)在很多人工智能就像是個(gè)神秘的黑盒子，神奇地做著一些事情。而專家系統(tǒng)的關(guān)鍵是透明，這樣，人們才能相信你做了什么。這能得到更好的反饋，創(chuàng)造很好的良性循環(huán)，從而加強(qiáng)和改變模型?！?/p>

LexisNexis法律和專業(yè)的首席信息安全官M(fèi)att McKeever也承認(rèn)，“你總是想知道它做出決定的原因。我們想弄清楚，我們是否理解這個(gè)決定是怎么做出的?！?/p>

該公司最近開始使用GreatHorn來保護(hù)其1萬2千名員工的電子郵件。McKeever說：“如果我們一開始時(shí)接收到的電子郵件來自一個(gè)看起來與合法域類似的域，那么將其標(biāo)記為類似域，它告訴我們，‘我們之所以標(biāo)記它，是因?yàn)樗雌饋硐袷悄綍r(shí)經(jīng)常聯(lián)系的域，但域名頭標(biāo)記看起來不太對。我們可以看到它是怎樣得出這一結(jié)論的，我們會(huì)說，‘是的，絕對有道理”。

隨著信任程度的提高，以及準(zhǔn)確率的提高，LexisNexis將從簡單地標(biāo)記可疑電子郵件轉(zhuǎn)為自動(dòng)隔離它們。McKeever說：“到目前為止，結(jié)果都很好。我們非常有信心，我們標(biāo)記的是惡意電子郵件，我們會(huì)開始隔離它們，這樣用戶就不會(huì)看到它了?！?/p>

之后，他的部門把工具擴(kuò)展應(yīng)用到LexisNexis使用Office 365的其他部門和業(yè)務(wù)領(lǐng)域，并考慮其他利用人工智能來實(shí)現(xiàn)網(wǎng)絡(luò)安全的方法。他說：“這是我們在機(jī)器學(xué)習(xí)安全方面早期進(jìn)行的嘗試?！?/p>

人工智能怎樣先敵制勝，超越威脅

隨著數(shù)據(jù)的增多，人工智能會(huì)變得越來越好。當(dāng)供應(yīng)商積累了大量的數(shù)據(jù)后，他們的系統(tǒng)也可以學(xué)習(xí)發(fā)現(xiàn)新威脅的早期跡象。以SQL注入為例。Alert Logic為其4千名客戶每季度收集大約一百萬個(gè)事件，其中大約一半是SQL注入事件。Alert Logic共同創(chuàng)始人兼產(chǎn)品和營銷資深副總裁Misha Govshteyn說：“世界上沒有一家安全公司能夠以人工的方式查看每一次SQL注入是否成功?！?/p>

采用機(jī)器學(xué)習(xí)，供應(yīng)商不僅能夠更迅速地處理事件，而且能夠從時(shí)間和地理上把這些事件關(guān)聯(lián)起來。他說：“有些攻擊需要幾個(gè)小時(shí)，有時(shí)幾天、幾周的時(shí)間，甚至幾個(gè)月的時(shí)間。它們不僅要花很長的時(shí)間來執(zhí)行，而且來自互聯(lián)網(wǎng)的不同地方。我認(rèn)為，如果沒有部署機(jī)器學(xué)習(xí)，就不會(huì)探測到這些事件?！?/p>

收集大量關(guān)于安全威脅信息的另一家安全供應(yīng)商是GreatHorn有限公司，這一基于云的電子郵件安全供應(yīng)商使用了微軟的Office 365、谷歌的G套件和Slack。該公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Kevin O‘Brien說：“我們現(xiàn)在擁有大約10TB經(jīng)過分析的威脅數(shù)據(jù)。我們開始把這些信息反饋到一個(gè)張量域中，這樣我們就能夠獲得不同類型的通信、不同類型的郵件服務(wù)、不同類型的消息傳遞之間的關(guān)系。”

這意味著該公司能夠發(fā)現(xiàn)新的威脅活動(dòng)，并發(fā)送消息進(jìn)行隔離，或者在將其確定為威脅前幾天發(fā)出警告。他說：“然后我們可以追溯回去，把它們從所有接收到的郵件收件箱中找出來?！?/p>

人工智能在網(wǎng)絡(luò)安全領(lǐng)域今后的應(yīng)用

在用戶行為和網(wǎng)絡(luò)數(shù)據(jù)流中尋找可疑模式是機(jī)器智能目前最容易上手的工作。目前的機(jī)器學(xué)習(xí)系統(tǒng)比較擅長在大量數(shù)據(jù)中發(fā)現(xiàn)異常事件，并進(jìn)行常規(guī)分析和響應(yīng)。

下一步是利用人工智能解決更棘手的問題。例如，一家企業(yè)的實(shí)時(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露程度取決于很多因素。這包括未打補(bǔ)丁的系統(tǒng)、不安全的端口、收到的魚叉式網(wǎng)絡(luò)釣魚電子郵件、特權(quán)帳戶和不安全密碼的數(shù)量、未加密的敏感數(shù)據(jù)量，以及它現(xiàn)在是否被某個(gè)民族國家的攻擊者給盯上了。

準(zhǔn)確地全面了解其風(fēng)險(xiǎn)將有助于企業(yè)高效地部署資源，不論企業(yè)是否出現(xiàn)了泄露事件，都應(yīng)該針對網(wǎng)絡(luò)安全性能建立一套指標(biāo)。Balbix是一家專門解決預(yù)測泄露事件風(fēng)險(xiǎn)問題的創(chuàng)業(yè)公司，其創(chuàng)始人兼首席執(zhí)行官Gaurav Banga說：“目前，如果您想全面地了解環(huán)境，會(huì)發(fā)現(xiàn)要么沒有正確的收集數(shù)據(jù)，要么數(shù)據(jù)沒有轉(zhuǎn)換成有用的信息。

人工智能是解決這一難題的關(guān)鍵。Banga說：“我們有24種不同類型的人工智能算法。我們建立了一種自下而上的模型，一種風(fēng)險(xiǎn)熱圖覆蓋了環(huán)境的各個(gè)方面，進(jìn)行點(diǎn)擊就能夠深入看下去為什么是紅色的。它是按規(guī)范進(jìn)行的，所以它會(huì)告訴您，如果您能做這些事情，它就會(huì)變成黃色，最終變成綠色。您可以問問題——‘我現(xiàn)在能做的第一件事是什么？，或者‘我面臨怎樣的網(wǎng)絡(luò)釣魚風(fēng)險(xiǎn)？，或者‘WannaCry會(huì)給我?guī)硎裁达L(fēng)險(xiǎn)？”

未來，人工智能還將幫助企業(yè)決定他們需要投資哪些新的安全技術(shù)。CompTIA的首席技術(shù)督導(dǎo)James Stanger說：“當(dāng)今的很多企業(yè)不知道網(wǎng)絡(luò)安全需要多大的投入，以及怎樣進(jìn)行投入。我認(rèn)為，我們需要人工智能來幫助提供度量標(biāo)準(zhǔn)，這樣，當(dāng)首席信息官轉(zhuǎn)過身來與首席執(zhí)行官進(jìn)行討論，或者與董事會(huì)交談時(shí)，他會(huì)說：‘這里有我們需要的資金，這是我們需要的資源，并且有真實(shí)而且有用的指標(biāo)來證明這些成本?！?/p>

Alert Logic的Govshteyn說，還有很大的進(jìn)步空間。他說：“人工智能在安全領(lǐng)域的應(yīng)用還非常有限。我認(rèn)為，我們實(shí)際上落后于其他行業(yè)。讓我驚訝的是，我們有了自動(dòng)駕駛汽車，卻沒有自我防御的網(wǎng)絡(luò)?！?/p>

此外，現(xiàn)在的人工智能平臺實(shí)際上并沒有真正理解世界。McAfee公司首席技術(shù)官Steve Grobman說：“這些技術(shù)最擅長的是參考它們曾被訓(xùn)練過的相似的數(shù)據(jù)集，對數(shù)據(jù)進(jìn)行分類。但人工智能并不是真的智能。它不理解攻擊的概念?！?/p>

因此，人類響應(yīng)者仍然是網(wǎng)絡(luò)防御解決方案的關(guān)鍵組成部分。Grobman說：“在網(wǎng)絡(luò)安全領(lǐng)域，你想探測同時(shí)也是人類的對手，而他則試圖阻止您的檢測技術(shù)。”

這與目前人工智能所應(yīng)用的其他領(lǐng)域不同，例如圖像和語音識別或者天氣預(yù)報(bào)。Grobman說：“這不像颶風(fēng)那樣，放出大話，‘我要改變物理定律，使水蒸發(fā)改變方式，讓人們很難跟蹤我。但在網(wǎng)絡(luò)安全領(lǐng)域，這正在發(fā)生。”

這方面正在取得進(jìn)展。CrowdStrike公司首席科學(xué)家Sven Krasser說：“有一個(gè)被稱為生成對抗網(wǎng)絡(luò)的研究領(lǐng)域，其中，您有兩個(gè)機(jī)器學(xué)習(xí)模型，一個(gè)試圖檢測到某種東西，而另一個(gè)則查看是否有東西被檢測到了，并試圖繞過它。您可以在紅隊(duì)中應(yīng)用類似的模式，發(fā)現(xiàn)新威脅。”endprint