為什么說機(jī)器學(xué)習(xí)是我們預(yù)防網(wǎng)絡(luò)威脅的最佳武器
2018年03月22日
隨著攻擊面的不斷擴(kuò)大以及攻擊技術(shù)的日趨復(fù)雜�,安全行業(yè)目前正面臨著嚴(yán)重的“安全技能短缺”。因此�����,我們過去所使用的安全保護(hù)策略可能已經(jīng)不再像以前那么有效了�,而現(xiàn)在唯一能幫我們對(duì)抗網(wǎng)絡(luò)犯罪分子的盟友武器,可能就是機(jī)器學(xué)習(xí)技術(shù)了。
盡管很多大學(xué)和在職培訓(xùn)機(jī)構(gòu)已經(jīng)盡了最大的努力�����,但到2022年市場(chǎng)上預(yù)計(jì)將出現(xiàn)180萬左右的安全專業(yè)職位空缺�。這場(chǎng)“危機(jī)”之所以會(huì)到來,其中一個(gè)原因就在于物聯(lián)網(wǎng)設(shè)備數(shù)量的直線上升將導(dǎo)致攻擊面呈指數(shù)增長(zhǎng)�����。與此同時(shí)����,很多傳統(tǒng)的犯罪組織以及流氓國(guó)家也正在成為網(wǎng)絡(luò)犯罪領(lǐng)域中的主要力量����,他們所擁有的資源和技術(shù)可能比以往安全社區(qū)所面臨的任何情況都要可怕得多。
但幸運(yùn)的是��,機(jī)器學(xué)習(xí)和其他形式的人工智能技術(shù)已經(jīng)成熟到足以加入網(wǎng)絡(luò)安全防御戰(zhàn)線的最前線了���。計(jì)算機(jī)分析趨勢(shì)����、處理大規(guī)模數(shù)據(jù)以及檢測(cè)異常的能力都要遠(yuǎn)遠(yuǎn)高于人類能力。在機(jī)器學(xué)習(xí)算法的的幫助下��,計(jì)算機(jī)可以根據(jù)一系列基本規(guī)則來將其應(yīng)用到大規(guī)模數(shù)據(jù)集上���。當(dāng)它們不停地對(duì)這些規(guī)則進(jìn)行迭代測(cè)試后����,它們對(duì)數(shù)據(jù)的理解將會(huì)更加深刻和復(fù)雜�����。
利用機(jī)器學(xué)習(xí)增強(qiáng)安全防御�����、檢測(cè)和響應(yīng)能力
人工智能技術(shù)增強(qiáng)了安全分析師的能力�,緩解了安全人才短缺的情況。這些激素和可以給初級(jí)分析人員提供診斷技能和資源輔助���,而這些資源通常需要多年的實(shí)戰(zhàn)經(jīng)驗(yàn)才可以積累下來���。接下來,我們從防御��、檢測(cè)和響應(yīng)這三個(gè)角度來看看機(jī)器學(xué)習(xí)可以如何幫到我們。
1. 防御
這些年所發(fā)生的一些大規(guī)模數(shù)據(jù)泄露事件���,都是因?yàn)槟切┮呀?jīng)被修復(fù)了的漏洞依然能夠被攻擊者利用所導(dǎo)致的�。比如說����,2014年的Heartbleed漏洞里用的就是OpenSSL協(xié)議中的一個(gè)設(shè)計(jì)缺陷,但這個(gè)漏洞的補(bǔ)丁卻早就已經(jīng)發(fā)布出來了�。而去年還發(fā)生過一次嚴(yán)重的數(shù)據(jù)泄露事件,此次事件中攻擊者利用的是Apache Struts框架中的已知漏洞����,而這個(gè)漏洞早在事件發(fā)生的兩個(gè)月前就已經(jīng)被修復(fù)了。
補(bǔ)丁管理對(duì)于企業(yè)安全專家來說是非常重要的��,他們不僅要對(duì)企業(yè)IT資產(chǎn)的安全狀態(tài)進(jìn)行持續(xù)性的監(jiān)控�����,而且還需要對(duì)更新補(bǔ)丁進(jìn)行跟蹤����。但是���,由機(jī)器學(xué)習(xí)驅(qū)動(dòng)的IT運(yùn)營(yíng)管理可以讓這些操作以自動(dòng)化的方式進(jìn)行��。
機(jī)器學(xué)習(xí)還可以解決安全防御環(huán)節(jié)中人類的影響因素���,比如說網(wǎng)絡(luò)釣魚攻擊現(xiàn)在越來越復(fù)雜了����,而且也很難被人類一眼察覺���。而且網(wǎng)絡(luò)犯罪分子還可以使用腳本來將用戶重定向到惡意網(wǎng)站���,并且去他們的憑證信息。攻擊成功之后����,他們就可以迅速將釣魚頁面刪除。實(shí)際上�,一次釣魚攻擊中70%的憑證都是在攻擊發(fā)起后的1小時(shí)之內(nèi)竊取到的。雖然人類無法快速發(fā)現(xiàn)這些釣魚頁面���,但是計(jì)算機(jī)可以通過訓(xùn)練來尋找釣魚頁面的特性�,并在一瞬間屏蔽這些頁面���。除此之外���,它們還可以通過網(wǎng)絡(luò)來分享自己的“經(jīng)驗(yàn)”�,并提升其他設(shè)備的檢測(cè)能力����。
2. 檢測(cè)
行為分析是機(jī)器學(xué)習(xí)的一種,它需要通過搜索大量的系統(tǒng)��、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)信息來尋找異?���;顒?dòng)。行為分析可以顯著降低(減少75%)網(wǎng)絡(luò)內(nèi)部的安全威脅��,比如說�����,檢測(cè)設(shè)備可以發(fā)現(xiàn)來自未知IP地址的訪問嘗試�����,重復(fù)登錄失敗和下載大量關(guān)鍵數(shù)據(jù)等行為�。
機(jī)器學(xué)習(xí)可以幫助安全團(tuán)隊(duì)處理由不當(dāng)權(quán)限所帶來的漏洞。計(jì)算機(jī)設(shè)備可以掃描網(wǎng)絡(luò)上數(shù)以百萬計(jì)的文件夾���,并從中尋找警告標(biāo)識(shí)����,比如說某些特殊權(quán)限或特殊用戶等等���。除此之外����,它們還可以搜索出那些已離職人員的登錄憑證����。
3. 響應(yīng)
一旦檢測(cè)到了入侵行為,安全團(tuán)隊(duì)就需要以最快的速度盡量減少損失����,并將攻擊者“趕出”自己的網(wǎng)絡(luò)系統(tǒng)。此時(shí)的當(dāng)務(wù)之急就是了解數(shù)據(jù)泄露事件發(fā)生的根本原因���、了解受感染程度��、并確定受影響的范圍�����。
在機(jī)器學(xué)習(xí)的幫助下����,安全團(tuán)隊(duì)可以快速建立一份“知識(shí)圖”來描述攻擊的波及范圍。它們可以精確定位IP地址�����、設(shè)備以及個(gè)人用戶����,而且比手動(dòng)分析要來得更加快速和精準(zhǔn)。這使得團(tuán)隊(duì)能夠迅速移除所有受感染的元素���,并實(shí)現(xiàn)安全事件的自動(dòng)化響應(yīng)�����,而這些自動(dòng)化過程包括將入侵者隔離在單獨(dú)的子網(wǎng)���、關(guān)閉端口����、隔離設(shè)備或?qū)?shù)據(jù)進(jìn)行加密等等��。
另一種有趣的新型響應(yīng)技術(shù)就是移動(dòng)威脅防御���,這種技術(shù)會(huì)不斷改變網(wǎng)絡(luò)中的資源狀態(tài),比如IP地址和數(shù)據(jù)位置等等�����,并通過這種方式來迷惑并影響攻擊者的活動(dòng)�����。對(duì)于人類來說����,手動(dòng)實(shí)現(xiàn)這種技術(shù)幾乎是不可能的,但機(jī)器學(xué)習(xí)就非常適合這種類型的任務(wù)��。
團(tuán)結(jié)就是力量
雖然機(jī)器學(xué)習(xí)可以從各個(gè)方面幫助我們預(yù)防網(wǎng)絡(luò)威脅�,但你可別忘了,我們有的東西����,網(wǎng)絡(luò)犯罪分子也有�����,而且可能還會(huì)更加先進(jìn)�。這是因?yàn)槿绱?��,我們才需要合作�,不僅是不同機(jī)構(gòu)間的合作�����,而且跨領(lǐng)域之間的合作也是勢(shì)在必行的��,因?yàn)榫W(wǎng)絡(luò)威脅的嚴(yán)重性要求我們拋開某些競(jìng)爭(zhēng)�,這樣才能換取更大的利益。
不過�,網(wǎng)絡(luò)犯罪分子之間也可以共享數(shù)據(jù),但他們的動(dòng)機(jī)不同�,而且壞人之間幾乎是沒有信任的。我相信�,全球安全專業(yè)人員集體的智慧再配合智能機(jī)器的強(qiáng)大功能,肯定會(huì)成為我們長(zhǎng)期以來最強(qiáng)大的安全防線���。技術(shù)已經(jīng)誕生了���,我們需要的就是集思廣益,思考如何才能更好地去使用它們��。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全�����、運(yùn)維平臺(tái)建設(shè)�����、動(dòng)漫設(shè)計(jì)���、軟件研發(fā)����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�����。公司遵循信息安全整體性的IATF模型��,從“人員素養(yǎng)”、“制度流程”��、“技術(shù)產(chǎn)品”三個(gè)視角提供全面����、可信的方案,業(yè)務(wù)涵蓋咨詢��、評(píng)估��、規(guī)劃����、管控、建設(shè)����、培訓(xùn)等。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商�。
