AI在安全方面的角色對白帽黑客和網絡罪犯都很有吸引力,但目前似乎還沒有找到雙方的平衡。
人工智能已經成為網絡安全開發者的新寶藏,這要歸功於它的潛力,它不僅可以在很大的規模上實現功能自動化,還可以根據它在一段時間內學到的東西來做出相應的決策。這可能會對安全維護人員產生重大影響——通常情況下,公司根本沒有足夠的資源在眾多惡意軟件中“大海撈針”。
例如,如果一名工作人員通常在紐約工作,突然有一天早上從匹茲堡登錄,這是一種反常現象——人工智能可以看出這是一種反常現象,因為它已經學會了期望用戶從紐約登錄。類似地,如果該用戶在匹茲堡登錄後,在幾分鐘後又在另一個地方登錄,比如加州,那麼這很可能是一個惡意的危險信號。
因此,在最簡單的層面上,人工智能和“機器學習”圍繞的是對行為規範的理解。系統需要一些時間來觀察環境,以瞭解什麼是正常的行為,並建立一個基準線——這樣它就可以通過將算法知識應用到數據集來獲取偏離規範的偏差。
針對網絡安全的AI可以以多種方式幫助防禦者。然而,人工智能的出現也有不利的方面。首先,網絡犯罪分子也利用了這項技術,很明顯,它可以被用於各種惡意的任務。比如對開放的、易受攻擊的端口進行的掃描,或者是電子郵件的自動組合,這些郵件具有公司首席執行官的準確語氣和聲音,被24小時竊聽。
在不久的將來,這種自動模仿甚至可以擴展到語音。例如,IBM的科學家已經為人工智能系統創造了一種方法來分析、解釋和反映用戶的獨特語言和語言特徵——從理論上講,這可以讓人類更容易地與他們的技術對話。然而,使用這種類型的惡意欺騙應用程序的潛力是顯而易見的。
與此同時,在垂直市場上採用人工智能的熱情——對於網絡安全和其他領域——已經打開了一個快速增長的新攻擊面——它並不總是青睞於內置的安全設計。人工智能有能力徹底改變任何行業:向在線購物者提供更明智的建議,加快生產過程的自動化質量檢查,甚至追蹤和監測出現野火的風險。加拿大阿爾伯塔大學的研究人員正在為這方面做更多的工作。
人工智能的這種雙重性質——一方面是正義的力量,另一方面是邪惡的力量——還沒有找到平衡,但人們對人工智能的興趣卻在持續增長。
人工智能的一場“傲骨之戰”
在網絡安全的適用性方面,人工智能已經得到了大量的宣傳。由於人工智能依賴於分析大量數據來尋找相關的模式和異常,因此可以要求它在一段時間內學習什麼構成了假陽性,以及在某種規定的政策範圍內所不包括的內容。因此,對於入侵預防和檢測來說,這可能是一個不可估量的恩惠,例如,與欺詐檢測和根除諸如DNS數據過濾和憑證濫用等惡意活動。
人工智能算法可以應用於用戶和網絡行為分析。例如,機器學習觀察人員、端點和像打印機這樣的網絡設備的活動,以標記潛在的惡意活動。
同樣,人工智能在網絡行為分析中也扮演著重要角色,它研究用戶與網站的互動,並作為在線欺詐檢測的補充。
例如,如果用戶登錄到一個零售應用程序,在站點周圍搜索,找到一個產品來了解更多信息,然後將該產品保存到購物車中或結賬。該用戶現在可以作為買家以配置行為文件。在未來,如果該用戶在同一電商網站上顯示了截然不同的行為,那麼它可能會被標記為潛在的安全事件進一步調查。
在DNS方面,一個人工智能系統可以檢查DNS流量,以跟蹤DNS查詢到權威服務器,但沒有收到有效響應的情況。“雖然這很難預防,但很容易被檢測到,”Justin Jett最近在Threatpost的一篇專欄文章中解釋道,他是Plixer的審計和合規總監。比如序列號0800fc577294c34e0b28ad2839435945.badguy.example[.]net 如果被髮送到給定的網絡機器上很多次,系統便會向IT專業人員發出警報。”
識別密碼洩露和誤用也是一個很好的例子。這種類型的攻擊正變得越來越普遍,因為數據洩露後,人們的電子郵件和密碼流向了黑暗的網絡。例如,Equifax的漏洞導致數百萬份有效的電子郵件被曝光;2016年的雅虎數據洩露事件中,攻擊者獲取了5億個用戶的賬戶信息。由於人們傾向於重複使用密碼,犯罪分子會在不同的機器上隨機嘗試不同的電子郵件和密碼,希望能獲得成功。
為了識別這種攻擊,“人工智能在這裡是有用的,因為它已經給用戶設立了基準線,”Jett解釋說。“這些用戶每天在多個設備上連接並登錄。對於一個人來說,在服務器上嘗試數百次登錄是很常見的,但是很難找到一個試圖在100臺不同的機器上進行連接的人,並且只成功登錄一次。”
人工智能還可以用來自動評估開源代碼的潛在缺陷。例如,網絡安全公司Synopsys正在利用人工智能自動將已知的漏洞映射到開源項目,並評估企業的風險影響;例如,它會自動分析數百份法律文件(許可證、服務條款、隱私聲明、HIPAA、DMCA等隱私法),以確定任何檢測到的漏洞的合規風險。
然而,在易受攻擊性方面的另一個應用是回顧和預測。如果一個新的漏洞被宣佈,那麼就可以通過日誌數據來查看它是否在過去被利用了。或者,如果這確實是一種新的攻擊,人工智能就可以評估證據是否足夠確定,以確定攻擊者的下一步行動是什麼。
人工智能還能很好地完成單調乏味、重複性的任務——比如尋找特定的模式。JASK的首席執行官兼聯合創始人Greg Martin表示,這樣一來,它的實現可以緩解大多數安全操作中心(SOCs)所面臨的資源限制。SOC的工作人員每天都在部署數百個安全漏洞——當然,並不是所有的安全漏洞都是真正的攻擊。
“安全團隊總是被信息所淹沒,”451 Research的研究主管Scott Crawford在一次採訪中說。“關於對手正在做什麼、最新的攻擊工具、惡意軟件的變化以及內部資源生成的大量信息。”在入侵保護空間中,日誌數據的數量和生成的警報是壓倒性的。SIEM市場在一定程度上是為了解決這個問題,只是在有需要處理的事情的時候才會浮出水面——但這還不夠。因此,現在我們看到了處理數據的新技術的興起,並通過分析和人工智能來獲得意義。”
目前仍不完美
儘管人工智能在安全領域有很多用途,但公司應該謹慎地理解其侷限性;這些引擎只和進入它們的數據一樣好,而僅僅將數據歸為算法,就會告訴分析師什麼是不尋常的,而不是它們是否重要。為人工智能設定參數的數據科學家需要知道如何提出正確的問題來恰當地利用人工智能的能力。人工智能應該尋找什麼?一旦有了發現,人工智能應該做些什麼呢?通常,需要複雜的流程圖來為期望的結果編寫人工智能程序。
用具體的術語來說,很容易就能訓練人工智能,比如說,發現小行星帶裡的小行星有反常的移動。但如果目標是要知道它是否向地球進發,那就需要進行仔細調整。
而且,在今天的數字工作場所中,有如此多的公司信息,以人類監督的形式監測故障是一個好主意。簡單地為人工智能分配網絡監督職責可能會產生意想不到的後果,比如過分積極地隔離文檔、刪除重要數據或大量拒絕合法信息——這可能會嚴重影響工作效率。例如,在人工智能的假設下,在之前的登錄場景中,員工可能只是在旅行,所以關閉訪問可能不是最好的主意。
“沒有一臺機器能完美無缺,並解釋所有潛在的行為可能性,”AsTech諮詢公司的首席安全架構師Nathan Wenzler在接受採訪時說。“這意味著它仍然需要人們的關注,否則你可能會有很多合法的東西被標記為“壞”,或者惡意軟件和其他攻擊,被編碼為“好”。所涉及的算法只能做到這樣,並且,隨著時間的推移而不斷改進。但是,攻擊也會變得更聰明,並找到規避學習過程的方法,從而仍然有效。”
而且,因為仍然需要有人能夠對出現的異常情況做出合理的判斷,因此也應該考慮到人們需要關注的領域。可以以快速電子郵件的形式向該員工發起一項手動調查——這聽起來沒什麼大不了的,除非你認為在一家大公司裡每隔幾分鐘就會有成百上千這樣的異常情況發生。
Jett解釋說:“在網絡安全中充分利用人工智能的最佳方法是,利用監督學習來識別惡意行為的粒狀模式,而無人監督的算法則為異常檢測建立一個基準線。”“人類在短期內不會被排除在這個等式之外。”
閱讀更多 中國雲計算 的文章
