慎言機(jī)器學(xué)習(xí)的9大企業(yè)安全用例
2018年08月29日
安全產(chǎn)品中的人工智能(AI)和機(jī)器學(xué)習(xí)(ML)在市場營銷上炒作太甚����,各種花哨的術(shù)語反而把這些工具實(shí)際的用途給弄得云山霧罩難以理解����。那么�����,安全中的AI和ML,當(dāng)下到底是個(gè)什么狀況呢?
不妨先從消除最常見的誤解開始:企業(yè)安全軟件中基本沒有融入什么真正的人工智能����。AI這個(gè)術(shù)語頻繁出現(xiàn)不過是市場營銷的功勞,跟該技術(shù)本身的關(guān)系極其有限����。純粹的AI,應(yīng)該能夠重現(xiàn)認(rèn)知能力�。
話雖如此,人工智能眾多子領(lǐng)域之一的機(jī)器學(xué)習(xí)���,倒是正被植入一些安全軟件中。但即便是機(jī)器學(xué)習(xí)這詞兒����,用得也有些樂觀了。
當(dāng)前安全軟件中機(jī)器學(xué)習(xí)的使用���,更像是上世紀(jì)80和90年代基于規(guī)則的“專家系統(tǒng)”�����,而非真正的AI應(yīng)用�����。如果你曾用過貝葉斯垃圾郵件過濾�,并以成千上萬的已知垃圾郵件和正常郵件加以訓(xùn)練,你就會(huì)對機(jī)器學(xué)習(xí)的工作機(jī)制有一定了解���。大多數(shù)情況下�,自訓(xùn)練是不太可能的����,需引入包括編程在內(nèi)的人工干預(yù)動(dòng)作來更新ML的訓(xùn)練。安全中存在太多變量����、太多數(shù)據(jù)點(diǎn),保持訓(xùn)練更新而有效是非常困難的����。
但如果能以大量數(shù)據(jù)加以訓(xùn)練,并由非常清楚自己在干什么的專家來使用�����,機(jī)器學(xué)習(xí)也可以變得非常有效。雖然復(fù)雜系統(tǒng)也不是不可能�����,但機(jī)器學(xué)習(xí)在更有針對性的任務(wù)或任務(wù)集上的表現(xiàn)�,要優(yōu)于在內(nèi)容寬泛的任務(wù)上的表現(xiàn)。
機(jī)器學(xué)習(xí)的強(qiáng)項(xiàng)之一是異常檢測�����,這是用戶及實(shí)體行為分析(UEBA)的基礎(chǔ)��。簡單講����,UEBA所做的,就是確定給定設(shè)備表現(xiàn)或承受的行為是否異常��。UEBA天然適用于很多主流網(wǎng)絡(luò)安全防御行為��。
機(jī)器學(xué)習(xí)系統(tǒng)如果訓(xùn)練深入而良好����,大多數(shù)情況下也就定義出了已知良性事件����。這能讓威脅情報(bào)或安全監(jiān)視系統(tǒng)專注于識(shí)別異常�。
但如果ML系統(tǒng)只以供應(yīng)商自己的通用數(shù)據(jù)加以訓(xùn)練����,會(huì)發(fā)生什么情況?如果用于訓(xùn)練的事件數(shù)量不足呢?或者,缺乏定義的異常點(diǎn)太多���,導(dǎo)致背景噪音不斷增大�����,又會(huì)怎樣?
你可能會(huì)被企業(yè)威脅檢測軟件的痛苦之源給拖垮:無窮無盡連綿不絕的誤報(bào)!也就是說�,如果不持續(xù)不斷地訓(xùn)練機(jī)器學(xué)習(xí)系統(tǒng)��,就得不到ML應(yīng)提供的真正優(yōu)勢���。而隨著時(shí)間流逝����,你的系統(tǒng)將變得越來越?jīng)]效果�����。
除去上述注意事項(xiàng),機(jī)器學(xué)習(xí)可以彌合安全過程�����,并為安全運(yùn)營中心(SOC)員工提供建議�。機(jī)器學(xué)習(xí)體現(xiàn)了更強(qiáng)大的AI系統(tǒng)可能帶來的光明前景。事實(shí)上��,當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域中�����,機(jī)器學(xué)習(xí)已經(jīng)在發(fā)揮作用了����。
機(jī)器學(xué)習(xí)的9大企業(yè)安全用例
1. 檢測并輔助挫敗正在進(jìn)行中的網(wǎng)絡(luò)攻擊
或許我們無法在攻擊發(fā)生前就關(guān)上它們侵入的大門,至少現(xiàn)在還不能�����,但機(jī)器學(xué)習(xí)可以搶在人類前面發(fā)現(xiàn)入侵指標(biāo)�,然后建議可采取的緩解行動(dòng)??梢圆捎脵C(jī)器學(xué)習(xí)檢測未知DDoS攻擊的程度���,也能用它標(biāo)定攻擊流量�����,然后自動(dòng)產(chǎn)生用以阻止攻擊的特征簽名�����。
2. 威脅情報(bào)
機(jī)器學(xué)習(xí)善于分析大量數(shù)據(jù)并分類所發(fā)現(xiàn)的各種行為��,只要發(fā)現(xiàn)超出正?�;鶞?zhǔn)的東西���,便會(huì)立即通報(bào)人類分析師�����。
機(jī)器學(xué)習(xí)還是快速甄別海量數(shù)據(jù)的倍增器����,可以推動(dòng)甄別工作以大幅超出人工判斷的速度進(jìn)行����。惡意黑客常會(huì)使用過載戰(zhàn)術(shù)拖垮安全運(yùn)營中心��。雖然說起來容易做起來難�����,但威脅檢測系統(tǒng)越貼近實(shí)時(shí)就越有效�����。
3. 識(shí)別漏洞�,確定漏洞優(yōu)先級�����,緩解漏洞
這3個(gè)動(dòng)作應(yīng)該是所有企業(yè)的經(jīng)常性工作�,但如果有套靠譜的機(jī)器學(xué)習(xí)系統(tǒng)每天執(zhí)行這些操作,企業(yè)安全中最大的隱患——未修復(fù)漏洞�,可能就不用再過多關(guān)注了。
4. 安全監(jiān)視
是跟蹤網(wǎng)絡(luò)流量����、內(nèi)部及外部行為、數(shù)據(jù)訪問和一系列其他功能及行為情況的過程�����。編程恰當(dāng)?shù)脑?�,機(jī)器學(xué)習(xí)是可以消費(fèi)大量數(shù)據(jù)來查找異常的�����。所以����,運(yùn)用ML,可能才是在一系列產(chǎn)品所產(chǎn)生的眾多日志文件和錯(cuò)誤消息中游刃有余地旋轉(zhuǎn)騰挪的正確姿勢���。
5. 檢測包括勒索軟件網(wǎng)絡(luò)釣魚攻擊在內(nèi)的惡意軟件
勒索軟件家族日益發(fā)展壯大��。機(jī)器學(xué)習(xí)可能是我們能夠?qū)棺兎N繁多的勒索軟件的唯一武器�����,基于特征簽名的方法面向過去��,只能檢測出昨天的勒索軟件���。異常行為檢查的能力正被應(yīng)用到勒索軟件追蹤工作中,效果良好�。
6. 審查代碼查找漏洞
敏捷安全開發(fā)運(yùn)維(DevSecOps)的真言之一���,就是“安全即代碼”。
開發(fā)人員應(yīng)該知道怎樣安全編碼�����,但機(jī)器學(xué)習(xí)可以輔助自動(dòng)化該安全編碼過程�,它可以分析代碼,查找常見編碼缺陷和可被利用的漏洞�����。事實(shí)上�����,機(jī)器學(xué)習(xí)甚至可以被當(dāng)做教導(dǎo)編程新手的工具��。
7. 數(shù)據(jù)分類
為符合數(shù)據(jù)隱私及數(shù)據(jù)保護(hù)規(guī)定�����,你首先得清楚自己所保護(hù)的數(shù)據(jù)都有哪些特征���。機(jī)器學(xué)習(xí)可被用于掃描新進(jìn)入的數(shù)據(jù)��,將之按敏感度等級分類���,以便你的系統(tǒng)可以按所需方式提供保護(hù)�。
8. 蜜罐
有一個(gè)特定的領(lǐng)域——蜜罐��,是適合接近真正AI的深度學(xué)習(xí)技術(shù)可與當(dāng)下自動(dòng)化緩解技術(shù)聯(lián)合應(yīng)用的����。
在企業(yè)網(wǎng)絡(luò)中圍繞互聯(lián)網(wǎng)部署蜜罐����,可以收集那些能被標(biāo)記為惡意的數(shù)據(jù)。蜜罐檢測到的每個(gè)事件或流量實(shí)例都是100%惡意的��。只要有足夠的蜜罐和數(shù)據(jù)��,就可以運(yùn)用深度神經(jīng)網(wǎng)絡(luò)來創(chuàng)建高置信度的攻擊檢測模型����。
9. 預(yù)測并自適應(yīng)未來威脅
已有少數(shù)公司在研究預(yù)測性安全分析。預(yù)測分析顯露出了商業(yè)智能的一些前景���。類似的機(jī)器學(xué)習(xí)技術(shù)是否能增強(qiáng)到可投射出未來的漏洞和數(shù)據(jù)泄露?答案尚無定論�����。
探悉事實(shí)真相
有專家認(rèn)為��,當(dāng)前根本沒有基于人工智能的產(chǎn)品����。這話可能有些夸張了。
AI是個(gè)涵蓋很廣的術(shù)語�,可以泛指包括機(jī)器學(xué)習(xí)在內(nèi)的很多技術(shù),甚至一些技術(shù)上并非人工智能的技術(shù)都可以代指�����。但如果從最嚴(yán)格的意義上看人工智能��,那它就只指具備認(rèn)知能力的計(jì)算機(jī)系統(tǒng)��。對此�,有人堅(jiān)稱,當(dāng)下“基于AI”的安全產(chǎn)品都是“假貨”����。
但AI潛力巨大,在未來的安全領(lǐng)域中必將起到重要作用。然而���,今天的企業(yè)安全中�����,并沒有多少成功部署了AI的例子�。倒是機(jī)器學(xué)習(xí)還有些安全用例����。
安全產(chǎn)品中的AI炒作太甚�,令人無奈。
太多安全供應(yīng)商吹噓自己的產(chǎn)品應(yīng)用了AI技術(shù)����,但實(shí)際上卻仍是用蠻力在連線固定規(guī)則,而非應(yīng)用智能���。那么CSO/CISO該怎么詢問供應(yīng)商���,才可以看破他們過度包裝機(jī)器學(xué)習(xí)的忽悠伎倆呢?
首先你得了解訓(xùn)練ML或AI所用的具體機(jī)制。然后你可以問:“你的機(jī)器學(xué)習(xí)是怎么學(xué)的?”“訓(xùn)練該ML需要多少數(shù)據(jù)?重訓(xùn)練隔多久一次?與該學(xué)習(xí)算法協(xié)作的機(jī)制是什么?人類怎么給該算法打分?該ML或AI是存檔數(shù)據(jù)集也能處理還是只能處理在線數(shù)據(jù)?”
當(dāng)然你也可以在實(shí)驗(yàn)室中復(fù)現(xiàn)用戶企業(yè)環(huán)境����,然后聘用信譽(yù)較高的紅隊(duì)來反復(fù)入侵該環(huán)境���,從而評估基于AI的安全解決方案。
結(jié)語
AI應(yīng)用到各行各業(yè)中只不過是個(gè)時(shí)間問題���,而這里的各行各業(yè)就包括了網(wǎng)絡(luò)犯罪�。每次安全界弄出個(gè)新的防御��,網(wǎng)絡(luò)罪犯就會(huì)開發(fā)出繞過這種防御的方法����。AI則會(huì)大幅加速這一周期?��?梢韵胂笠幌逻@樣的場景:智能犯罪系統(tǒng)每時(shí)每刻都在試圖侵入銀行����、醫(yī)院和能源公司����。當(dāng)然,這些機(jī)構(gòu)的AI系統(tǒng)將會(huì)以每秒數(shù)百次的快捷操作來應(yīng)對����,將網(wǎng)絡(luò)罪犯拒之門外����。這是AI將呈現(xiàn)的挑戰(zhàn)與機(jī)遇��。
