Scot Finnie 陈琳华
我们在安全产品宣传中听到的许多关于人工智能和机器学习的内容大部分都是为了营销,外人很难从中知道这些工具的真实能力。以下我们将为大家详细介绍一下目前安全领域中人工智能和机器学习的状态。
让我们从破除最常见的误解开始:企业安全软件中几乎没有整合真正的人工智能(AI)。事实上,人工智能这个术语经常被提及的原因在大程度上与营销有关,反而跟技术本身没有什么关系。纯粹的人工智能主要是复制认知能力。
也就是说,作为人工智能众多子领域之一的机器学习(ML)反倒是被整合到了一些安全软件当中。但即便是机器学习这个术语,人们的态度也有些过于乐观。目前,机器学习在安全软件中的使用方式更像上世纪80年代和90年代基于规则的“专家系统”,而非真正的人工智能。如果你曾经使用过贝叶斯垃圾邮件过滤算法,并使用过数以千计的已知垃圾邮件和成千上万条已知的非电子邮件对其进行训练,那么你可能会对机器学习的工作原理有一定的了解。在大多数情况下,它们无法进行自我训练,需要进行包括编程在内的人工干预以更新训练内容。由于安全领域中存在着很多的变量和数据点,因此不断训练最新的内容并让其行之有效是一项艰巨的挑战。
尽管如此,当机器学习使用来自环境的大量数据进行训练,尤其是环境中的使用者清楚自己的目标,那么机器学习可以变得非常有效。虽然复杂的系统也是有可能的,但是相比广泛的任务,机器学习在更具针对性的任务或任务集中表现的更为优异。
IDC全球安全产品研究主管Chris Kissel表示,机器学习的优势之一是异常检测,这是用户和实体行为分析(UEBA)的基础。他表示:“UEBA功能的定义为确定指定设备的收发行为是否异常。”UEBA生来就非常适用于许多重大网络安全防御行为。
在机器学习系统得到充分且良好的训练后,大多数情况下就已经完成了对已知良性事件的定义。这使威胁情报或安全监控系统可以专注于识别异常情况。如果供应商仅使用自己的通用数据对系统进行训练,那么会发生什么情况?如果机器学习没有足够多的事件进行训练呢?亦或是用于训练的事件中充斥着没有经过识别的极值,并且这些极值还不幸成为了背景噪音中的一部分呢?用户可能会被企业威胁检测软件无休止的误报而困扰。如果没有对机器学习系统进行持续的训练,那么你将无法享受到机器学习的真正优势。随着时间的流逝,系统的使用效果将越来越差。
除了上述之外,机器学习还可以简化流程并为安全运营中心(SOC)人员提供建议。这些都展现了以更为强大的人工智能为基础的系统将具有光明前景。以下是它们正在发挥作用的领域。
针对企业安全的9大机器学习使用案例
1.检测并阻止正在实施的网络攻击。我们无法在攻击发生之前及时关闭入侵的漏洞,至少现在还没有这种能力,但是机器学习或许能够在用户之前发现入侵迹象,然后建议采取可能的行动。Redware安全研究员Pascal Geenens说:“我们可以使用机器学习来检测未知的DDoS攻击的严重程度。与此同时,机器学习还可以提取攻击流量的特征,并自动生成用于阻止攻击的签名。”
2.威胁情报。机器学习擅长分析海量数据,并对其发现的行为进行分类。当它们发现了异常情况后会及时提醒分析人员。机器学习还是快速筛查海量数据的利器,极大地提升了系统的数据分析能力。饱和攻击是不法分子常用的战术,应对这类攻击往往都是说起来容易做起来难,然而威胁检测系统越具实时性应对措施就越有效。
3.识别现有漏洞、确定优先级并帮助修复。这些应该是所有企业的经常性工作,但是如果有套可靠的机器学习系统每天都帮助你执行这些操作,那么企业安全中最大的问题,即未修复的漏洞可能就不再那么受关注了。
4.安全监控指跟踪与网络流量、内部与外部行为、数据访问以及各种功能和活动有关的信息的过程。在合理编程后,机器学习将有能力通过处理庞大的数据池来查找异常情况,因此机器学习很可能是最适合处理各种产品生成的日志文件和错误消息的技术。
5.检测勒索软件等恶意软件。勒索软件家族正在日益发壮大,而机器学习可能是目前我们手中唯一可用于对抗它们的工具,因为通过检测勒索软件之前用过的签名的方式已经无法跟上形势变化。在追查勒索软件中,检测异常行为能力已经收到了良好的效果。
6.审查代码以查找漏洞。DevSecOps中的一句格言是“安全性也是代码”。显然,开发人员需要知道如何从安全角度编写代码,不过如今机器学习已经可自动分析代码查找常见的漏洞和弱点。事实上,它或许可以成为一种培训新开发人员的工具。
7.数据分类。为符合数据隐私和数据保护法规的要求,我们应当清楚需要保护的数据的特征。机器学习可用于扫描新导入或新生成的数据并对其敏感性进行分类,以便系统能够以其需要的方式保护它们。
8.蜜罐。在这个特定的领域中,更接近真正人工智能的深度学习可与目前的威胁自动缓解技术联合使用。Geenens认为:“通过在互聯网上的企业网络中部署蜜罐,我们能够收集大量数据,如果其中的数据是恶意的,我们会对其进行标记。不幸的是,经由蜜罐检测到的所有事件或流量实例全部是恶意的。如果我们有足够的蜜罐和数据,那么深度神经网络将能够创建一个可精准检测出攻击行为的模型。”
9.预测并适应未来的威胁。一些企业目前正在研究预测性安全分析技术。目前该技术已经展现出了一些商业智能前景。这种类似的机器学习技术能否被用来预测未来可能存在的漏洞和缺陷呢?现在还尚无定论。
探究真相
一些专家认为,目前根本没有任何基于人工智能的产品。这种说法可能有些过于武断。人工智能可以作为一个总称,用来表示一系列广泛的技术,这其中包括技术层面上并不属于人工智能的机器学习技术。在最严格的意义上,人工智能指具有认知能力的计算机系统。Domo的CISO和SVP信任与安全部门的Niall Browne并不信任目前“基于人工智能”的安全产品。他说:“人工智能具有巨大的潜力,并将在未来的安全领域中发挥关键作用。尽管如此,却很少有人在企业安全中持续部署人工智能。” 不过,他也承认机器学习确实具备安全用途。
Browne并不是唯一对一些安全产品炒作人工智能概念感到厌烦的人,他的态度得到了一些人的支持。
GreyCastle Security首席执行官Reg Harnish对此总结道:“今天,许多声称自己的产品具备人工智能功能的软件供应商不是想办法使产品具备智能而是故意曲解原有规则。” 那么CSO/CISO应当如何问询安全产品供应商,才能避免被机器学习的虚假宣传所坑骗呢?
Delphi创始人兼云存储初创公司Wasabi顾问Tom Koulopoulos指出,“首先要问的一个关键问题是:它们是如何学习的?因为你需要了解训练机器学习或人工智能的具体机制。其次要分别需要多少数据?再训练的频率是多少?与算法的协作机制是什么?人类怎么给它们打分?机器学习或人工智能使用的是存档的数据集还是在线数据?”
作为IEEE成员的Integral Partners公司信息安全主管Kayne McGladrey给出了如下建议,“首先要在实验室内的用户环境复制品中对基于人工智能的安全解决方案展开评估。然后聘请一个声誉良好的团队模拟现实中的黑客反复尝试突破这一环境。”
总结
现有企业安全平台内置人工智能是安全领域内人工智能发展的大势所趋。原因很简单,网络犯罪分子已经在使用机器学习。“包括网络犯罪在内,人工智能应用到各行各业是只一个时间问题。每当安全部门开发出了新的保护措施,网络犯罪分子就开始千方百计地企图突破它们。人工智能将会以极快的速度提升企业的防护能力。想象一下,全球的智能犯罪系统每时每刻都在试图入侵银行、医院和能源公司。当然,这些企业和公司中的人工智能系统也在时刻不停地进行工作,以阻止这些网络犯罪分子。这些都是人工智能在未来需要面对的挑战和机遇。”
本文作者Scot Finnie曾担任Computerworld主编,目前为自由撰稿人,拥有数十年的IT从业经验。
原文网址:https://www.csoonline.com/article/3295596/security/ai-in-cybersecurity-what-works-and-what-doesnt.html