网络安全中的AI,炒作与真实并存
人工智能(AI)的前景令人信服。给安全经理的警笛声。希望利用自主,自学解决方案的强大功能的公司正在产生兴趣和投资。毕竟,人工智能已经使保险业,乳腺癌研究,金融和执法机构受益。那么,为什么也不安全呢?
根据ESET最近的一项调查,新的业务期望和误导性营销术语已在AI周围引起了广泛的炒作,以至于现在有75%的信息安全决策者将AI视为解决安全问题的灵丹妙药。如此高昂的期望,再加上当前AI技术的现实,将使您的组织面临风险。虽然在帮助人类分析人员方面非常有用,但孤立的AI不能替代经验丰富的分析人员实施的可靠信息安全策略。
以Facebook为消除通过其服务传播的“假新闻”的努力为例。该社交网络平台已重新部署了一些优秀工程师,以开发跟踪和消除虚假新闻的工具,并雇用了一些优秀的AI初创公司,例如Bloomsbury AI。尽管付出了巨大的努力,Facebook产品管理总监Greg Marra承认:“……我们最多可以减少80%的虚假新闻浏览量。”如果AI仅解决Facebook上80%的“假新闻”问题,安全性公司显然对抱负寄予厚望。
硬道理是,围绕AI的许多兴奋仅仅是炒作。话虽如此,人工智能还是有希望的。智能AI确实具有天才级解决方案的潜力。现在是进行现实检查的时候了:AI可以做什么,不能做什么?
人工智能可以缓解网络安全疲劳
由于威胁领域的根本变化以及缺乏合格的候选人来填补安全分析师的职位,我们需要将AI之类的技术带入网络安全已经很长时间了。
在过去的几年中,几乎每个组织都经历了数字化转型。 “数字化转型”一词涉及使用数字技术来改造流程,以提高组织的效率或效力。这个想法不仅是使用技术来以数字形式复制现有服务,而且是使用技术将服务转换为更好的产品。
数字化转型可能涉及许多不同的技术,但目前最热门的话题是云计算,物联网,大数据和人工智能。除此之外,这是一种文化变革,要求组织不断挑战现状,进行试验并适应失败。有时,这意味着要放弃长期存在的业务流程,而在这些业务流程上建立公司时会偏向于仍在定义中的相对较新的做法。
数字化转型可能涉及许多不同的技术,但目前最热门的话题是云计算,物联网,大数据和人工智能。除此之外,这是一种文化变革,要求组织不断挑战现状,进行试验并适应失败。有时,这意味着要放弃长期存在的业务流程,而在这些业务流程上建立公司时会偏向于仍在定义中的相对较新的做法。
此类技术带来了惊人的新组织能力,但同时也创造了新的复杂性,互连性和漏洞点(更大的攻击面),网络犯罪分子很快就学会了利用这些漏洞。传统的基于边界和基于规则的网络安全方法不再适用于新的数字组织。同时,仅由人员组成的网络安全团队无法处理由所有新技术和设备产生的每日威胁数据泛滥。
正如IBM安全情报所强调的那样,安全分析师工作过度,人员不足且不知所措。跟上不断扩大的威胁态势是人类不可能做到的,尤其是考虑到运行安全运营中心(SOC)的日常任务。
但是,提高安全性的好处令人信服,其中包括大量节省成本。据Ponemon称,与那些在100天内未被发现的事件相比,在不到100天内发现违规的组织节省了超过100万美元。同样,与那些花费超过30天(但少于100天)的组织相比,在30天之内包含违规的组织节省了超过100万美元。
AI可以采取什么措施缓解这种情况?
AI的速度,准确性和计算能力为保护无边界组织提供了独特的机会,并能够持续处理每个组织现在每天面对的大量威胁数据。这是因为AI可以很好地完成乏味的重复性任务,例如寻找特定的模式。这样,其实施可以减轻大多数安全运营中心(SOC)面临的资源限制。
对于入侵防御和检测,欺诈检测以及根除诸如DNS数据泄露和凭据滥用之类的恶意活动,这可能是不可估量的好处。此外,人工智能算法可以应用于用户和网络行为分析。例如,机器学习可以查看人员,端点和打印机等网络设备的活动,以标记流氓内部人员的恶意活动。
AI是否达到了“魔术”状态?
“任何足够先进的技术,”亚瑟·克拉克(Arthur Clarke)写道,“与魔术是无法区分的。”但这绝不是AI的真相。罗德尼·布鲁克斯(Rodney Brooks)指出:“人工智能在1960年代,1980年代一次又一次被高估,现在我再次相信,但从长远来看,它的前景也可能被低估了。”实际上,根据布鲁克斯的说法,人工智能只是阿马拉法则的另一项适用规定如下:
“我们倾向于在短期内高估技术的效果,而在长期内低估效果。”
我们对AI犯的一个错误是,我们倾向于将其视为一种“魔尘”,一旦将其撒在组织上,它就会变得更加聪明。事实并非如此。谷歌云AI业务新负责人安德鲁·摩尔(Andrew Moore)最近表示:“人工智能(AI)是关于使用数学来使机器做出真正好的决定。目前,它与模拟真实人类智能(HI)无关。解决人工智能问题涉及许多艰巨的工程,数学和线性代数以及所有其他工作。绝不是魔尘般的解决方案。”
没错实际上,当今的AI算法无非就是传统的机器学习算法。机器学习使用统计技术使计算机具有“学习”的能力-即使用数据并识别数据中的模式以逐步提高特定任务的性能,而无需进行显式编程。机器学习系统是一组算法,它们在一端吸收大量数据,而在另一端吐出推断,相关性,推荐甚至可能的决策。而且该技术已经无处不在:实际上,我们与Google,Amazon,Facebook,Netflix,Spotify等之间的每一次互动都是由机器学习系统进行的。
正如斯坦福大学教授兼Google Cloud的前首席AI科学家Lii-Fei Li在美国众议院科学,太空和技术委员会的听证会上所说的那样,“关于AI,没有任何人造的东西。它受人的启发,是人创造的,而且最重要的是,它影响着人们。这是一个强大的工具,我们才刚刚开始了解它,这是深刻的责任。”
人工智能不能消除HI
人工智能主要专注于处理大量威胁数据。它以接近实时的速度几乎无限地执行这些活动的能力,使其成为现代,有效的网络安全计划中的宝贵盟友。而且这些活动可以在网络安全的每个阶段执行,从而使AI在组织遭受攻击之前,之中和之后都能提供价值。但是,人工智能不能复制人类的见识。它并没有消除对人类网络安全专家的需求。
如《计算机周刊》上的文章所述,机器学习工具对于恶意软件分析是“无价之宝”,因为它们能够在正确标记了样本的情况下快速了解干净数据与恶意数据之间的差异。这些引擎仅与输入其中的数据一样好,仅将数据输入算法就可以告诉分析师异常情况,异常情况,但如果有关系则不行。数据科学家需要知道如何提出正确的问题以正确利用AI的功能。
这恰恰是有监督和无监督机器学习之间的区别。当前的工具和技术为前者提供了支持,但后者仍然遥不可及。如果没有人来监视系统的输入和输出并训练算法,人工智能工具就有可能捕获和报告基本系统数据,但是提供智能威胁响应计划远远超出了他们的范围。这与Ponemon的一项研究相吻合,该研究发现AI检测到55%的安全警报仍需要人工监督。
AI:是朋友还是敌人?
将AI应用于安全数据与本文开头列出的其他字段之间的主要区别之一是,在安全字段中,数据正在反击。由于开发AI资源的工具在公共领域广泛可用,因此预计在未来几年中,基于攻击的AI技术可能会比为防御而创建的AI技术更加普及。因此,尽管在其他学科中成功使用了AI,但将其用于安全性却是一项更具挑战性的任务,需要更大程度的人员参与。
企业安全公司SAP NS2的总裁兼首席执行官Mark Testoni评论:
“黑客与开发防御黑客的能力的社区一样复杂。 他们正在使用相同的技术,例如智能网络钓鱼,分析潜在目标的行为以确定要使用的攻击类型,以及“智能恶意软件”,它们知道何时监视它们,以便将其隐藏。”
网络罪犯可以使用AI技术的最常见攻击媒介包括:
- 机器学习中毒通过中毒从中学习算法的数据池来规避AI的有效性,从而导致AI系统将恶意活动识别为良性
- 与聊天机器人相关的网络犯罪,聊天机器人可以在其中分析和模仿人们的行为
- 勒索软件促进
- 冒名顶替欺诈和身份盗用
- 收集情报并扫描漏洞
- 网络钓鱼
- 分布式拒绝服务
- (DDoS)攻击
人工智能部署
除了AI真正可以做的以增强公司安全性之外,公司还必须考虑实施。组织如何有效地部署AI解决方案以最大化结果?
对于初学者而言,公司必须“停止认为AI是魔术。” AI本身并不是万灵药,也无法解决您的所有安全挑战。但是,AI可以提高SOC性能。 SOC团队需要了解AI技术的功能和局限性,并确保他们对如何受益以及在哪些地方仍需要人工参与抱有适当的期望。
由AI驱动的工具可以通过自动分析警报来提高安全性,尤其是在将恶意行为添加到分析中时,可以过滤掉很大一部分明显的良性行为,因此团队中的人员可以专注于较小百分比的“可能是恶意”活动。通过以这种方式使用AI,SOC可以显着增加由人类安全分析人员解决的高严重性事件的数量,并降低成功攻击的风险,而无需实际增加分析人员的数量。