如何将人工智能和机器学习纳入网络安全

时间:2022-06-01 19:29:17

随着用于工作的设备不断多样化,网络攻击也是如此,但人工智能可以帮助防止它们。

随着网络攻击的性质和目标变得越来越多样化,网络安全人员必须拥有正确的可见性来确定如何相应地解决漏洞,而人工智能可以帮助解决人类同事无法单独解决的问题。

“网络安全就像一盘国际象棋,”PaloAltoNetworks欧洲、中东和非洲地区首席安全官GregDay说。“对手希望战胜受害者,受害者的目标是阻止和阻止对手的攻击。数据为王,也是终极奖励。

如何将人工智能和机器学习纳入网络安全

“1996年,人工智能国际象棋系统深蓝赢得了对世界冠军加里卡斯帕罗夫的第一场比赛。很明显,人工智能可以以编程方式思考更广泛、更快和更远超出规范的范围,现在它在网络安全中的许多应用也是如此。”

考虑到这一点,我们探索了当今网络安全中人工智能的特定用例。

与员工一起工作

Day继续扩展了人工智能如何与网络安全人员一起工作以确保组织安全。

“我们都知道市场上没有足够的网络安全人员,所以人工智能可以帮助填补这一空白,”他说。“机器学习是人工智能的一种形式,可以读取来自SoC分析师的输入并将其转换为不断扩展的数据库。

“下一次SoC分析师输入类似症状时,他们会看到之前类似的案例以及解决方案,基于统计分析和神经网络的使用——减少人力。

“如果没有以前的案例,人工智能可以分析事件的特征,并根据过去的经验建议哪些SoC工程师是最强大的团队来解决问题。

“所有这些实际上都是一个机器人,一个将人类知识与数字学习相结合的自动化过程,以提供更有效的混合解决方案。”

战斗机器人

Netacea数据科学主管MarkGreenwood深入研究了机器人在网络安全中的好处,并牢记公司必须区分好坏。

“今天,机器人占所有互联网流量的大部分,”格林伍德解释说。“而且他们中的大多数都很危险。从使用被盗凭据的帐户接管到伪造帐户创建和欺诈,它们构成了真正的网络安全威胁。

“但企业无法仅靠人工响应来应对自动化威胁。如果他们认真对待“机器人问题”,就必须采用人工智能和机器学习。为什么?因为要真正区分好机器人(例如搜索引擎抓取工具)、坏机器人和人类,企业必须使用人工智能和机器学习来全面了解其网站流量。

“有必要摄取和分析大量数据,而人工智能使这成为可能,同时采用机器学习方法使网络安全团队能够使他们的技术适应不断变化的环境。

“通过查看行为模式,企业将得到“普通用户旅程是什么样子”和“有风险的不寻常旅程是什么样子”等问题的答案。从这里,我们可以解开他们网站流量的意图,获得并领先于不良机器人。”

端点保护

SolarWinds安全架构副总裁TimBrown在考虑可以从该技术中受益的网络安全的某些方面时表示,人工智能可以在保护端点方面发挥作用。随着用于工作的远程设备数量的增加,这变得越来越重要。

“通过遵循最佳实践建议并与补丁和其他更新保持同步,组织可以做出反应并抵御威胁,”布朗说。“但人工智能可能会给IT和安全专业人员带来对抗网络犯罪分子的优势。

“防病毒(AV)与AI驱动的端点保护就是这样一个例子;AV解决方案通常基于签名工作,并且有必要跟上签名定义以抵御最新威胁。如果病毒定义落后,这可能是一个问题,因为更新失败或缺乏来自AV供应商的知识。如果使用一种新的、以前未见的勒索软件来攻击企业,签名保护将无法捕获它。

“人工智能驱动的端点保护采取不同的策略,通过重复训练过程为端点建立行为基线。如果发生异常情况,AI可以对其进行标记并采取行动——无论是向技术人员发送通知,还是在勒索软件攻击后恢复到安全状态。这提供了针对威胁的主动保护,而不是等待签名更新。

“人工智能模型已经证明自己比传统的AV更有效。对于MSP服务的许多中小型公司而言,AI驱动的端点保护成本通常只针对少数设备,因此应该不太受关注。另一件要考虑的事情是感染后的清理成本——如果人工智能驱动的解决方案有助于避免潜在的感染,那么它可以通过避免清理成本来收回成本,进而创造更高的客户满意度。”

机器学习与短信诈骗

随着越来越多的员工在家工作,并且可能更频繁地使用他们的个人设备来完成任务和与同事协作,警惕短信中的诈骗很重要。

MobileIron产品管理高级副总裁布赖恩•福斯特(BrianFoster)表示:“随着恶意行为者最近使攻击媒介多样化,在短信网络钓鱼诈骗中使用Covid-19作为诱饵,组织面临着加强防御的巨大压力。”

“为了保护设备和数据免受这些高级攻击,在移动威胁防御(MTD)和其他形式的托管威胁检测中使用机器学习作为一种高效的安全方法继续发展。

“可以训练机器学习模型以立即识别和防范潜在有害活动,包括其他解决方案无法及时检测到的未知和零日威胁。同样重要的是,当通过统一端点管理(UEM)平台部署基于机器学习的MTD时,它可以增强UEM提供的基础安全性,以支持分层的企业移动安全策略。

“机器学习是一种强大但不引人注目的技术,它可以随着时间的推移持续监控应用程序和用户行为,以便识别正常和异常行为之间的差异。有针对性的攻击通常会在设备中产生非常微妙的变化,其中大部分对人类分析师来说是不可见的。有时,只有通过机器学习关联数千个设备参数才能进行检测。”

需要克服的障碍

这些用例以及更多用例证明了人工智能和网络安全人员有效结合的可行性。然而,Panaseer产品副总裁MikeMacIntyre认为,要真正实现这一目标,该领域仍有许多障碍需要克服。

“人工智能当然有很多希望,但作为一个行业,我们必须清楚,它目前不是缓解所有网络安全挑战和解决技能短缺的灵丹妙药,”麦金太尔说。“这是因为AI目前只是一个术语,适用于机器学习技术的一小部分。围绕AI的大部分炒作来自企业安全产品如何采用该术语以及对AI构成的误解(有意或无意)。

“嵌入在许多现代安全产品中的算法充其量只能称为狭义或弱人工智能;他们在单一、狭窄的领域执行高度专业化的任务,并接受过针对单个领域的大量数据的培训。这与通用或强大的人工智能相去甚远,后者是一个可以执行任何通用任务并回答跨多个领域的问题的系统。谁知道这样一个系统有多远(从下一个十年到永远不会有很多争论),但是没有CISO应该在他们的三到五年战略中考虑这样的工具。

“阻碍人工智能有效性的另一个关键障碍是数据完整性问题。如果您无法访问相关数据源或不愿意在您的网络上安装某些东西,则部署AI产品毫无意义。安全的未来是数据驱动的,但我们距离人工智能产品兑现其营销炒作的承诺还有很长的路要走。”