机器学习正在不断加的加快前进的步伐,是时候来探讨这个问题了。人工智能真的能在未来对抗网络攻击,自主地保护我们的系统吗?
如今,越来越多的网络攻击者通过自动化技术发起网络攻击,而受到攻击的企业或组织却仍在使用人力来汇总内部安全发现,再结合外部威胁信息进行对比。利用这种传统的方式部署的入侵检测系统往往需要花费数周,甚至几个月的时间,然而就在安全人员修复的这段时间内,攻击者依然能够利用漏洞侵入系统,肆意掠夺数据。为了应对这些挑战,一些先行者开始利用人工智能来完成日常的网络风险管理操作。
根据Verizon Data Breach的报告,超过70%的攻击是通过发现补丁利用已知漏洞完成的。同时,调查结果表明,一个黑客可以在漏洞公布出来的几分钟内利用该漏洞尝试入侵。修复速度的重要性可见一斑。然而,由于安全专业人员的短缺再加上大数据集需要在安全的状态下处理,因此漏洞补救措施无法跟上网络攻击者并不奇怪。
近期,工业调查表明组织机构平均需要146天的时间才能修复致命漏洞。这些发现无疑给我们敲响了警钟,重新思考现有的企业安全势在必行。
攻击者长期利用机器和自动化技术来简化操作。那我们又未尝不可?
2016年,业界开始将人工智能和机器学习视为圣杯,提高了组织机构的检测和响应能力。 利用反复学习数据的方式得到的算法,来保证发现威胁,而这个过程不需要操作者考虑“要找什么东西”的问题。最终,人工智能能够在三个特定事件中帮助人类自动化解决问题。
大数据识别威胁
当出现网络安全这一概念的时候,所有的组织机构就面临了一个难题。
在过去,关注网络和终端的保护就可以了,而如今应用程序,云服务和移动设备(例如平板电脑,手机,蓝牙设备和智能手表)的加入,使得组织机构的发展这些项目的同时,必须针对它们做好足够的防御。然而需要防御的攻击面在不断扩大,在将来会变得更大。
这种“更广泛和更深层”的攻击面只会增加如何管理组织中无数IT和安全工具生成的数据的数量,速度和复杂性等现有问题。分析、归一化、优先处理被攻破的系统显得尤为重要。工具越多,挑战的难度越大;攻击面越广,要做的数据分析也就越多。 传统上,手工修复需要大量的工作人员梳理大量的数据连接点和发现潜在的威胁。在安全人员在努力修复几个月时间内,攻击者就能利用漏洞提取数据。
突破现有的思维方式、自动化执行传统的安全操作已成为补充稀缺的网络安全运营人才的头等大事。 就是在这种大环境下,使用人机交互式机器学习引擎可以达到自动化跨不同数据类型的数据聚合、 搜集评估数据到合规要求、规范化信息以排除误报,重复报告以及大量的数据属性的效果。
更具关联性的风险评估
一旦发现内部安全情报与外部威胁数据(例如,漏洞利用,恶意软件,威胁行为者,声誉智能)相匹配,那么首先要确定的就是这些发现是否与关键业务相关联,否则无法确定真正存在的风险及其对业务的最终影响。 打个比方,假设在某次机器的处理过程中,由于机器不知道“coffee服务器”相比“email务器”对业务的影响,最终导致了补救措施无法集中在真正需要补救的事件中。在这个例子中,人机交互的机器学习和高级算法起了适得其反的效果,这不是我们愿意看到的现象。
自学习的应急响应
增加负责确定安全漏洞的安全团队和专注于补救这些团队的IT运营团队之间的协作仍然是许多组织面临的挑战。 使用基于风险的网络安全概念作为蓝图,可以实施主动安全事件通知和人机交互环路干预的自动化过程。 通过建立阈值和预定义的规则,企业、机构还可以通过编制补救措施来的方式及时修复安全漏洞。
虽然机器学习可以帮助减少修复时间,但它是否能够自主地保护组织免受网络攻击?
很多时候,无人监督的机器学习会因为疲于警报以及注意力的原因降导致误报和警报频发。 对于攻击者来说,这个结果无疑给他们带来了破坏机器学习的新思路。 但是不得不承认的是,如今已经达到了一个临界点,人类已经无法继续处理大量的安全数据。 这才引出了所谓的人机交互式机器学习。
人机交互式机器学习系统分析内部安全智能,并将其与外部威胁数据相关联,帮助人类在海量的数据中发现威胁数据。 然后人类通过标记最相关的威胁向系统提供反馈。 随着时间的推移,系统会根据人类输入调整其监测和分析,优化发现真实网络威胁和最小化误报的可能性。
让机器学习在一线安全数据评估中取得重大进展,使分析人员能够专注于对威胁进行更高级的调查,而不是执行战术性的数据处理。
