隨著網絡攻擊在性質和目標上變得越來越多樣化，網絡安全人員是否有正確的可見性來確定如何解決漏洞是至關重要的，而人工智能將可以幫助提出人類無法單獨解決的問題。

“網絡安全就像是一盤國際象棋，”Palo Alto網絡公司的EMEA首席安全官Greg Day表示。“對手試圖擊敗受害者，而受害者則旨在阻止對手的攻擊。數(shù)據(jù)是王者，也是最終的獎品。”

“1996年，人工智能國際象棋系統(tǒng)“深藍”在第一場比賽中擊敗了世界冠軍Garry Kasparov。很明顯，人工智能可以通過編程的方式在規(guī)范之外進行更廣泛、更快和更遠的思考，而現(xiàn)在它在網絡安全領域的許多應用也是如此。”

有鑒于此，我們探索了人工智能在當今網絡安全中的特殊使用案例。

與員工一起工作

Day接著詳述了人工智能是如何與網絡安全人員合作，以確保組織安全的。

“我們都知道市場上沒有足夠的網絡安全人員，所以人工智能可以幫助填補這一空白，”他表示。機器學習是人工智能的一種形式，它可以讀取SoC分析師的輸入，并將其轉置到一個不斷擴大的數(shù)據(jù)庫當中。

“下一次，當SoC分析員輸入類似的癥狀時，他們就會根據(jù)統(tǒng)計分析和神經網絡的使用，給出以前類似的案例和解決方案，從而減少人力投入。

“如果沒有以前的案例，人工智能也可以分析事件的特征，并根據(jù)過去的經驗，建議哪個SoC工程師是解決問題的最強人選。

“所有這些實際上都是一個機器人，一個將人類知識與數(shù)字學習相結合的自動化過程，以提供一種更有效的混合解決方案。”

對抗機器人

Netacea數(shù)據(jù)科學主管Mark Greenwood研究了機器人在網絡安全中的好處，并強調了企業(yè)必須能夠區(qū)分好的和壞的。

“如今，機器人占據(jù)了互聯(lián)網流量的絕大部分，”Greenwood解釋說。“而且大多數(shù)都是危險的。從使用竊取的憑證進行賬戶收購，到創(chuàng)建虛假賬戶和欺詐，它們構成了真正的網絡安全威脅。

“但是企業(yè)無法僅僅依靠人類的反應來對抗自動化的威脅。如果他們真的想解決“機器人問題”，他們就必須使用人工智能和機器學習。為什么？因為要真正區(qū)分好的機器人（比如搜索引擎抓取器）、壞的機器人和人類，企業(yè)就必須利用人工智能和機器學習來全面了解自己的網站流量。

“攝取和分析大量數(shù)據(jù)是必要的，而人工智能能夠使這成為可能，而采用機器學習方法將使網絡安全團隊能夠調整他們的技術，以適應不斷變化的環(huán)境。”

“通過觀察用戶的行為模式，企業(yè)將得到以下問題的答案：‘普通用戶的旅程是什么樣的’和‘不尋常的冒險旅程是什么樣的’。從這里，我們可以了解他們網站流量的意圖，讓他們領先于那些壞的機器人。”

端點保護

SolarWinds負責安全架構的副總裁Tim Brown在考慮可以從該技術獲益的網絡安全的某些方面時表示，人工智能也可以在保護端點方面發(fā)揮作用。隨著用于工作的遠程設備數(shù)量的增加，這一點將變得越來越重要。

“通過遵循最佳實踐建議并及時更新補丁和其他更新，一個組織可以及時的做出反應，抵御威脅，”Brown說。“而且人工智能也可能會給IT和安全專業(yè)人士帶來一個對抗網絡犯罪的優(yōu)勢。”

反病毒（AV）與人工智能驅動的端點保護就是這樣的一個例子;AV解決方案通常是基于簽名來工作的，因此有必要及時跟上簽名定義，以保持對最新威脅的保護。這的確會是一個問題，如果病毒定義落后了，要么是因為更新失敗，要么是因為病毒供應商缺乏知識。如果一個新的，以前沒有出現(xiàn)過的勒索軟件被用來攻擊一家企業(yè)，簽名保護將無法捕捉到它。

人工智能驅動的端點保護采取了不同的策略，通過反復的培訓過程為端點建立了行為基線。如果發(fā)生異常情況，人工智能就可以標記它并采取行動--無論是向技術人員發(fā)送通知，還是在勒索軟件攻擊后恢復到安全狀態(tài)。這也提供了針對威脅的主動預防性保護，而不是等待簽名的更新。

“人工智能模式已經被證明了會比傳統(tǒng)的AV更為有效。對于許多由MSP服務的中小型公司來說，人工智能驅動的端點保護的成本通常只適用于少量設備，因此沒有引起太多關注。另一個需要考慮的事情是感染后的清理成本--如果人工智能驅動的解決方案有助于避免潛在的感染，那么它也可以通過避免清理成本來為自己買單，從而創(chuàng)造更高的客戶滿意度。”

機器學習和短信詐騙

隨著越來越多的員工開始在家工作，并且可能更頻繁地使用個人設備來完成任務并與同事合作，警惕短信中可能存在的欺詐行為是很重要的。

“由于惡意行為者的攻擊載體的多樣化，包括使用Covid-19來作為短信釣魚詐騙的誘餌，組織正面臨著加強防御的巨大壓力，”MobileIron負責產品管理的高級副總裁Brian Foster表示。

“為了保護設備和數(shù)據(jù)免受這些高級攻擊，機器學習在移動威脅防御（MTD）和其他形式的托管威脅檢測方面的使用將繼續(xù)發(fā)展成為一種高效的安全方法。”

“可以對機器學習模型進行培訓，以立即識別和防范潛在的有害活動，包括其他解決方案無法及時檢測到的未知威脅和零日威脅。同樣重要的是，當通過統(tǒng)一端點管理（UEM）平臺部署基于機器學習的MTD時，它還可以增強UEM所提供的基礎安全性，以支持分層的企業(yè)移動安全策略。

“機器學習是一項強大而又不引人注目的技術，它可以隨著時間的推移不斷監(jiān)控應用程序和用戶行為，從而識別出正常和異常行為之間的區(qū)別。”有針對性的攻擊通常會在設備上產生一個非常微妙的變化，而人類的分析人員是看不到這些變化的。有時，只有通過機器學習將數(shù)千個設備參數(shù)關聯(lián)起來，才能對其進行檢測。”

要克服的障礙

這些用例和更多的例子證明了人工智能和網絡安全人員有效結合的可行性。然而，Panaseer的產品副總裁Mike MacIntyre認為，要想真正的實現(xiàn)這一目標，該領域仍有許多障礙需要克服。

“人工智能當然有很多前景，但作為一個行業(yè)，我們必須清楚，它目前還不是緩解所有網絡安全挑戰(zhàn)和解決技能短缺的靈丹妙藥，”MacIntyre表示。這是因為人工智能目前只是一個用于機器學習技術小子集的術語。很多關于人工智能的炒作都是來自于企業(yè)安全產品是如何采用這個術語的，以及對人工智能所構成的誤解（有意或無意）。

“嵌入在許多現(xiàn)代安全產品中的算法最多只能被稱為狹義或弱人工智能;他們在單一、狹窄的領域中執(zhí)行著高度專業(yè)化的任務，并接受過針對單一領域的大量數(shù)據(jù)的訓練。這與一般或強人工智能相去甚遠，而后者是一種可以執(zhí)行任何一般性任務并跨多個領域回答問題的系統(tǒng)。誰也不知道這樣一個系統(tǒng)還有多遠（從下一個十年到永遠都不會有爭議），但是沒有一個CISO應該把這樣一個工具納入到他們的3-5年戰(zhàn)略之中。

“另一個阻礙人工智能有效性的關鍵障礙是數(shù)據(jù)完整性的問題。如果你不能訪問相關的數(shù)據(jù)，或者不愿意在網絡上安裝一些東西，那么部署一個人工智能產品就是沒有意義的。安全的未來一定是數(shù)據(jù)驅動的，但人工智能產品想要實現(xiàn)它們的營銷宣傳承諾，還有很長的一段路要走。”
責編AJX