單純的反惡意軟件或登錄審核等傳統(tǒng)網(wǎng)絡(luò)安全工具在2020年還不夠用-需要額外的資源來(lái)保護(hù)組織及其員工免受網(wǎng)絡(luò)威脅。人工智能(AI)和機(jī)器學(xué)習(xí)(ML)正在網(wǎng)絡(luò)安全領(lǐng)域取得豐碩成果。

我與AI解決方案提供商Fusemachines的技術(shù)副總裁Anish Joshi以及機(jī)器數(shù)據(jù)分析組織Sumo Logic的安全業(yè)務(wù)部門總經(jīng)理Greg Martin進(jìn)行了交談，以征詢他們的意見。采訪已被輕松編輯。

Scott Matteson：網(wǎng)絡(luò)安全的常見痛點(diǎn)是什么?

Anish Joshi：應(yīng)用程序中的安全風(fēng)險(xiǎn)在數(shù)量和復(fù)雜性上都在不斷增長(zhǎng)。

隨著諸如Web，移動(dòng)甚至物聯(lián)網(wǎng)(loT)之類的技術(shù)的出現(xiàn)，應(yīng)用程序已遍及個(gè)人和專業(yè)生活，因?yàn)樗鼈儗⒓夹g(shù)用于各種不同的目的，從而有可能增加其破壞的范圍?？赡軟](méi)有組織沒(méi)有自己的應(yīng)用程序。但是，由于缺乏熟練的技術(shù)人員之類的問(wèn)題，容易受到威脅的應(yīng)用程序數(shù)量猛增，而這些人員的專業(yè)知識(shí)是構(gòu)建和保護(hù)此類軟件所必需的。還存在通過(guò)外包降低應(yīng)用程序開發(fā)成本的趨勢(shì)，從而導(dǎo)致了低質(zhì)量軟件的創(chuàng)建。

一個(gè)更可怕的事實(shí)是，缺乏資源來(lái)解決此類問(wèn)題的初創(chuàng)公司忽視了應(yīng)用程序的安全性和隱私權(quán)，并且常常在殘酷的環(huán)境中被激烈的競(jìng)爭(zhēng)所困擾。

歸結(jié)為沒(méi)有深入的網(wǎng)絡(luò)安全策略。隨著技術(shù)滲透到業(yè)務(wù)的各個(gè)部分，網(wǎng)絡(luò)安全管理變得非常繁瑣而艱巨。許多公司都缺乏可靠且系統(tǒng)的基于風(fēng)險(xiǎn)的安全策略。除了少數(shù)人擁有其應(yīng)用程序，處理的數(shù)據(jù)和已實(shí)施的安全控制的最新積壓之外，許多公司還缺少應(yīng)用程序安全程序。在沒(méi)有任何適當(dāng)知識(shí)的情況下，保護(hù)這些應(yīng)用程序似乎不太可能。

格雷格·馬丁(Greg Martin)：攻擊者已經(jīng)學(xué)會(huì)了在很大程度上自動(dòng)化攻擊，將攻擊頻率提高了一個(gè)數(shù)量級(jí)。因此，警報(bào)疲勞，錯(cuò)誤肯定警報(bào)以及巨大的攻擊量以及可用于分析的原始數(shù)據(jù)量，使得做出相應(yīng)的反應(yīng)對(duì)于人類來(lái)說(shuō)幾乎是不可能的任務(wù)。眾所周知，網(wǎng)絡(luò)安全方面的技能缺口/人才短缺使這一點(diǎn)更加明顯。

斯科特·馬特森(Scott Matteson)：最普遍的風(fēng)險(xiǎn)是什么?

Anish Joshi：最普遍的風(fēng)險(xiǎn)是通過(guò)網(wǎng)絡(luò)釣魚電子郵件竊取私人和機(jī)密信息。當(dāng)公司員工打開網(wǎng)絡(luò)釣魚電子郵件時(shí)，這可能導(dǎo)致惡意軟件滲透到公司的計(jì)算機(jī)系統(tǒng)中，最終導(dǎo)致其損失大量金錢，商業(yè)秘密以及名稱和聲譽(yù)。

這不僅影響了整個(gè)公司，而且還影響了個(gè)人，因?yàn)樗麄兊碾[私受到侵犯，他們的信息可用于欺詐。一個(gè)例子是從他們的銀行帳戶中偷錢。

格雷格·馬丁(Greg Martin)：攻擊的復(fù)雜性每天都在進(jìn)步，無(wú)文件攻擊正以驚人的速度增長(zhǎng)，這越來(lái)越使攻擊者能夠“遠(yuǎn)離陸地”生存，這意味著他們正在利用PowerShell等現(xiàn)有腳本功能和現(xiàn)有網(wǎng)絡(luò)管理工具進(jìn)行傳播并在企業(yè)網(wǎng)絡(luò)內(nèi)橫向移動(dòng)。由于這種細(xì)微的活動(dòng)，需要用于檢測(cè)和響應(yīng)的其他安全工具，這些工具對(duì)于已經(jīng)工作過(guò)度，人手不足的SOC [安全運(yùn)營(yíng)中心]團(tuán)隊(duì)會(huì)產(chǎn)生更多警報(bào)和復(fù)雜性。

Scott Matteson： AI和ML如何幫助解決這些問(wèn)題?

阿尼什·喬希(Anish Joshi)：數(shù)據(jù)并不短缺或不可用，尤其是在這個(gè)數(shù)字時(shí)代。AI和ML可以通過(guò)處理和分析大量數(shù)據(jù)來(lái)發(fā)現(xiàn)異常趨勢(shì)，行為和模式，從而發(fā)現(xiàn)異?；蚱墼p，從而提供幫助。這是在金融界幫助阻止犯罪的重要工具。由于犯罪分子發(fā)明了繞過(guò)防火墻的新方法，因此傳統(tǒng)方法無(wú)法檢測(cè)到網(wǎng)絡(luò)安全威脅。因此，組織需要更好地防范黑客的此類攻擊-他們唯一的方法就是使用足夠復(fù)雜的AI和ML技術(shù)，以解決隨著時(shí)間而發(fā)展的問(wèn)題。

格雷格·馬丁(Greg Martin)：提供警報(bào)的自動(dòng)分析功能使分析師能夠消除噪音并分類警報(bào)，這會(huì)帶來(lái)最大的組織危險(xiǎn)。人們根本無(wú)法像機(jī)器學(xué)習(xí)驅(qū)動(dòng)的自動(dòng)化引擎那樣快速或有效地處理和分析數(shù)據(jù)，并且人類無(wú)法像自動(dòng)化一樣迅速擴(kuò)展規(guī)模來(lái)滿足需求高峰。自動(dòng)化可用于促進(jìn)ML驅(qū)動(dòng)的安全事件分類和惡意行為檢測(cè)。

Scott Matteson： AI和ML如何改善網(wǎng)絡(luò)安全措施?

Anish Joshi：密碼保護(hù)，真實(shí)性檢測(cè)和多因素身份驗(yàn)證是可以在網(wǎng)絡(luò)安全中實(shí)施的一些措施。機(jī)器學(xué)習(xí)算法可用于對(duì)密碼強(qiáng)度進(jìn)行分類，并幫助建議更強(qiáng)更難猜的密碼。它們還允許實(shí)施更復(fù)雜的身份驗(yàn)證機(jī)制，例如使用AI檢測(cè)某些物理特征的生物特征登錄。此類技術(shù)允許應(yīng)用多因素身份驗(yàn)證(一種可靠的安全機(jī)制)，從而使系統(tǒng)更難以滲透。

格雷格·馬丁(Greg Martin)： AI / ML和自動(dòng)化極大地增強(qiáng)了端點(diǎn)保護(hù)，但是我們看到該技術(shù)最大的好處就是指導(dǎo)安全操作，使其一旦受到企業(yè)的威脅，該如何處理。網(wǎng)絡(luò)犯罪活動(dòng)的日益復(fù)雜和持續(xù)不斷，要求安全運(yùn)營(yíng)團(tuán)隊(duì)重新考慮他們?nèi)绾问褂萌藛T，流程和技術(shù)。使用SOC(安全信息和事件管理)或日志管理工具關(guān)聯(lián)警報(bào)以進(jìn)行手動(dòng)調(diào)查的以人為主導(dǎo)的24/7分層分析器系統(tǒng)來(lái)運(yùn)行SOC的過(guò)時(shí)實(shí)踐已被證明是無(wú)效的。需要重新定義SIEM / SOC平臺(tái)的概念，在該概念中，智能自動(dòng)化是減輕當(dāng)今分析人員面臨的數(shù)據(jù)負(fù)擔(dān)的驅(qū)動(dòng)力。

Scott Matteson：減少威脅涉及什么?

Anish Joshi：減少網(wǎng)絡(luò)安全威脅的幾種方法是，通過(guò)關(guān)閉不必要的服務(wù)，使用特權(quán)級(jí)別最低的設(shè)置，運(yùn)行常規(guī)的系統(tǒng)安全掃描以保持其最新狀態(tài)并確保某些敏感數(shù)據(jù)永遠(yuǎn)不會(huì)泄漏，來(lái)加強(qiáng)當(dāng)前的安全系統(tǒng)。從系統(tǒng)泄漏。同樣重要的是，要使公司的員工意識(shí)到某些安全問(wèn)題，例如提防網(wǎng)絡(luò)釣魚郵件竊取私人信息，使用強(qiáng)度高且難以猜測(cè)的可變密碼，仔細(xì)檢查機(jī)密文件，信用卡等個(gè)人物品，徽章不會(huì)無(wú)人值守，以加密格式保存數(shù)據(jù)，并在發(fā)生緊急情況時(shí)購(gòu)買網(wǎng)絡(luò)保險(xiǎn)。

格雷格·馬丁(Greg Martin)：為安全操作提供自動(dòng)化工具，以在大海撈針中尋找針頭，并在最需要的地方使用有價(jià)值的人類智慧。熟練的SOC分析員是我們應(yīng)對(duì)威脅的最佳防御方法。但是，它們提供的大多數(shù)分析和處理都是平凡的，浪費(fèi)了人力資本。理想情況下，人類SOC分析人員應(yīng)專注于更高級(jí)，更有價(jià)值的任務(wù)，例如威脅搜尋，威脅情報(bào)和歸因。通過(guò)采用自動(dòng)化，其想法是讓分析人員騰出時(shí)間來(lái)處理非常重要的任務(wù)，并讓自動(dòng)化完成繁重的工作。

斯科特·馬特森(Scott Matteson)：現(xiàn)實(shí)生活中有哪些例子?

格雷格·馬丁(Greg Martin)：一個(gè)很好的例子是網(wǎng)絡(luò)犯罪分子能夠隱藏由難以控制的警報(bào)和誤報(bào)導(dǎo)致的噪音，以便安全操作進(jìn)行分析。83%的組織承認(rèn)他們甚至無(wú)法獲得每天收到的警報(bào)的一半(Fidelis的最新研究)。

我們已經(jīng)看到，參與者在Monero加密貨幣挖礦操作期間成功地躲藏在噪音中，攻擊者在最初感染新Linux主機(jī)后便建立了匿名收入流。感染后，演員使用Haiduc(一種SSH暴力破解工具)進(jìn)行自我復(fù)制并利用其他感染機(jī)會(huì)，而沒(méi)有被發(fā)現(xiàn)。只有通過(guò)自動(dòng)的跨源分析，您才能夠檢測(cè)出大量，低保真的事件，并相應(yīng)地進(jìn)行分類。

斯科特·馬特森(Scott Matteson)：壞蛋如何發(fā)展他們的策略以克服預(yù)防措施?

阿尼什·喬希(Anish Joshi)：由于AI和ML不僅用于網(wǎng)絡(luò)安全，而且還用于網(wǎng)絡(luò)犯罪，所以壞人利用它們來(lái)更好地描述受害者并加速攻擊?？梢栽谄墼p檢測(cè)中使用的相同技術(shù)也可以用來(lái)克服現(xiàn)有的安全措施。

格雷格·馬丁(Greg Martin)：攻擊者自己將采用更大的自動(dòng)化形式來(lái)提高攻擊的頻率和復(fù)雜程度。這將是一場(chǎng)持續(xù)的比賽。

斯科特·馬特森(Scott Matteson)：該領(lǐng)域的發(fā)展方向如何?

艾妮絲·喬希(Anish Joshi)：隨著技術(shù)的飛速發(fā)展，計(jì)算機(jī)系統(tǒng)將使世界變得更加互連，這為網(wǎng)絡(luò)犯罪的發(fā)生打開了更多的可能性，因?yàn)閹缀跛惺虑槎荚诤诳偷目刂品秶畠?nèi)。盡管日趨成熟的技術(shù)將導(dǎo)致更強(qiáng)大，更安全的系統(tǒng)，但黑客也將有充分的機(jī)會(huì)利用其空前的力量來(lái)實(shí)現(xiàn)諸如欺詐之類的錯(cuò)誤目的。

下一代網(wǎng)絡(luò)安全產(chǎn)品越來(lái)越多地融合了AI和ML技術(shù)。在Fusemachines，我們正在幫助公司提升對(duì)機(jī)密數(shù)據(jù)和機(jī)密的保護(hù)。通過(guò)在網(wǎng)絡(luò)安全，網(wǎng)絡(luò)甚至物理信息的大型數(shù)據(jù)集上訓(xùn)練AI軟件，網(wǎng)絡(luò)安全解決方案提供商旨在檢測(cè)并阻止異常行為，即使該行為未表現(xiàn)出已知的“簽名”或模式。

隨著時(shí)間的流逝，公司會(huì)將ML納入每種類型的網(wǎng)絡(luò)安全產(chǎn)品。為了到達(dá)那里，F(xiàn)usemachines通過(guò)提供一組專門的顧問(wèn)，AI工程師和數(shù)據(jù)科學(xué)家來(lái)幫助公司。

格雷格·馬丁(Greg Martin)：將自動(dòng)化與一線分析師并列放置。人類安全操作將不會(huì)被機(jī)器取代;相反，自動(dòng)化將提高分析人員的技能和效率，使他們能夠減輕數(shù)據(jù)處理和日常工作的負(fù)擔(dān)，并專注于機(jī)器無(wú)法執(zhí)行的認(rèn)知過(guò)程。

我還收到身份管理提供商Sailpoint首席產(chǎn)品官Paul Trulove的消息，他說(shuō)：

“讓我們退后一步，看看為什么人工智能(AI)和機(jī)器學(xué)習(xí)(ML)成為安全的寵兒。這不是因?yàn)闄C(jī)器人正在接管，而是因?yàn)槿祟愐呀?jīng)接管了?；ヂ?lián)網(wǎng)大約在40億范圍內(nèi)，約占世界人口的一半。在這里，人類是存在風(fēng)險(xiǎn)的，這意味著網(wǎng)絡(luò)安全已成為我們應(yīng)對(duì)業(yè)務(wù)，政府，甚至個(gè)人生活中的風(fēng)險(xiǎn)的第一線。

“對(duì)組織而言，網(wǎng)絡(luò)安全威脅的數(shù)量正在增加，而現(xiàn)實(shí)是，如果沒(méi)有AI和ML之類的技術(shù)的幫助，人們就無(wú)法克服這種風(fēng)險(xiǎn)。AI和ML是力量的倍增器，它們使IT安全團(tuán)隊(duì)能夠發(fā)現(xiàn)眾所周知的問(wèn)題通過(guò)快速合成大量數(shù)據(jù)以檢測(cè)真正的關(guān)注區(qū)域，可以更快地“威脅大海撈針”，這不僅適用于IT安全團(tuán)隊(duì)，而且對(duì)于身份團(tuán)隊(duì)也是如此，他們?cè)谏矸莅踩陂g面臨著類似的身份多樣性大數(shù)據(jù)問(wèn)題他們的數(shù)字化轉(zhuǎn)型，這意味著必須在更多的應(yīng)用程序(傳統(tǒng)和云)和數(shù)據(jù)(結(jié)構(gòu)化和非結(jié)構(gòu)化)中管理更多的身份(人類和非人類)。