Maria+Korolov+Charles

人工智能和機器學習能夠為人手不足的安全部門提供支援——他們希望需要更快速高效地應對網絡威脅。

自從2013年的Target泄露事件以來，人們清楚地認識到，當今的安全警報越來越多，企業(yè)應該更好地做出響應。而今年的勒索軟件攻擊傳播非常快，合規(guī)要求也越來越嚴格，企業(yè)也必須要更快地響應。通過招聘很難招到網絡安全員工，因此企業(yè)轉向采用機器學習和人工智能（AI）來自動完成任務，更好地發(fā)現(xiàn)不良行為。

什么是人工智能和機器學習？

在網絡安全環(huán)境中，人工智能是一種軟件，能夠很好地感知周圍環(huán)境，發(fā)現(xiàn)違規(guī)事件，并按照預定義的目標采取相應的行動。人工智能特別擅長的是對模式進行識別并發(fā)現(xiàn)其中的異常，這使其成為檢測威脅非常好的工具。

機器學習經常與人工智能一起使用。它是一種可以根據(jù)人類輸入和所采取行動的結果，自己進行“學習”的軟件。與人工智能一起，機器學習成為基于過去事件來預測結果的工具。

使用人工智能和機器學習來檢測威脅

巴克萊非洲（Barclays Africa）正在開始使用人工智能和機器學習來檢測網絡安全威脅，并對其作出響應。巴克萊非洲首席安全官Kirsten Davies說：“現(xiàn)在有很多功能強大的工具，但必須知道怎樣將其納入到非常廣泛的網絡安全戰(zhàn)略中?！?/p>

例如，該技術可以用于發(fā)現(xiàn)企業(yè)本地網絡和云端是否出現(xiàn)泄露跡象。她說：“我們正在談論的是大量的數(shù)據(jù)。隨著全球威脅態(tài)勢的變化，攻擊方無論是在能力還是在協(xié)作方面都在快速發(fā)展，我們必須使用先進的工具和技術先敵制勝，超越威脅?！?/p>

人工智能和機器學習也使她能夠做到讓員工們人盡其才。她說：“我們需要的關鍵技能在全球范圍內都是非常缺乏的。我們很早就意識到這一點了，而我們現(xiàn)在還是處于這種情況。我們再也不能繼續(xù)以人工的方式進行下去了?！?/p>

并非只有銀行如此?？偛吭O在圣何塞的工程服務公司Cadence設計系統(tǒng)有限公司不斷監(jiān)測威脅，以維護其知識產權。3萬臺終端設備和8千2百個用戶每天產生了250千兆至500千兆的安全相關數(shù)據(jù)流——而只有15名安全分析師監(jiān)測這些數(shù)據(jù)流。該公司的首席信息安全官Sreeni Kancharla說：“這只是我們得到的一些網絡數(shù)據(jù)，實際上有更多。應該采用機器學習和人工智能，這樣就能夠減少實際問題，更好地解決這些問題?！?/p>

Cadence借助Aruba網絡和惠普的產品，使用這些技術來監(jiān)視用戶和實體的行為，并進行訪問控制。Kancharla說，該平臺最吸引人的是其無監(jiān)督學習能力。他說：“這是一個不斷變化的環(huán)境。如今，攻擊是如此的復雜，他們現(xiàn)在做的一些不起眼的小事情可能會隨著時間的推移，造成大數(shù)據(jù)泄露。這些工具確實幫助了我們?！?/p>

即使是規(guī)模較小的公司也難以應對安全數(shù)據(jù)過多的挑戰(zhàn)。Daqri是一家洛杉磯的公司，為建筑業(yè)和制造業(yè)生產增強現(xiàn)實眼鏡和頭盔。公司有300名員工，但安全運營中心只有一個人。公司的信息技術和安全高級主管Minuk Kim說：“我們在發(fā)現(xiàn)并應對安全事件方面遇到的難題是需要大量的人力?！?/p>

公司采用了Vectra網絡的人工智能工具來監(jiān)測工作環(huán)境中大約1，200臺設備的數(shù)據(jù)流。Kim說：“當您監(jiān)測網絡數(shù)據(jù)流時，能看到是否有人正在進行端口掃描，在主機之間跳轉，或者以非常規(guī)的方法傳輸大量數(shù)據(jù)?！?/p>

該公司收集所有這些數(shù)據(jù)，分析它，并將其送入深度學習模型中。他說：“現(xiàn)在您能非常清楚地看出哪些數(shù)據(jù)流可能是惡意的?！?/p>

而且要迅速做出反應。他說：“這總是涉及到加強檢測和響應反饋的能力。這正是人工智能發(fā)揮其長處的所在。如果能縮短檢查所有這些事件的時間，將極大的提高洞察網絡中正在發(fā)生的事情的能力，當出現(xiàn)嚴重的泄露事件時，您便能迅速發(fā)現(xiàn)并作出反應，把損失降到最低?！?/p>

網絡安全越來越多地采用了人工智能

Nemertes Research首席執(zhí)行官Johna Till Johnson證實說，采用人工智能和機器學習后，公司在快速響應威脅方面出現(xiàn)明顯的不同。她說：“這真的有市場。的確有需求，人們也確實在這么做。”

Nemertes最近進行了一項全球安全調查，公司發(fā)現(xiàn)攻擊并進行應對的平均時間是39天，而有些公司卻能在幾小時內完成。她說：“速度之所以提高了是與自動化有關，如果不使用人工智能和機器學習，則無法實現(xiàn)自動化?！?/p>

以探測為例，她說：“探測的中位數(shù)時間是一小時?！北憩F(xiàn)出色的公司通常在10分鐘內完成這項工作——表現(xiàn)不佳的公司則需要幾天到幾周的時間。機器學習和分析技術幾乎可以把這一時間降到零，這就是為什么表現(xiàn)出色的公司速度如此之快的原因所在。

同樣地，在分析威脅時，中位數(shù)時間是三小時。表現(xiàn)出色的公司只需要幾分鐘，而其他公司則需要幾天甚至幾周的時間。她說，受調查的公司中已經有21%部署了行為威脅分析，另有12%的受訪者表示，他們將在2017年年底前將其投入使用。

她說，金融服務公司在這方面尤其站在最前沿，因為它們擁有高價值的數(shù)據(jù)，往往在網絡安全方面處于領先地位，并且有資金投在新技術上。“因為這并不便宜?！?/p>

當涉及到人工智能和機器學習更廣泛的應用時，其使用量甚至更高。據(jù)Vanson Bourne于10月11日發(fā)布的調查，80%的企業(yè)已經在以某種形式使用人工智能。這項技術已經有了回報，人工智能最大的收獲是產品創(chuàng)新和研發(fā)，50%的受訪者認為這項技術完全改變了產品創(chuàng)新和研發(fā)，其次是46%的受訪者認為對客服，42%的受訪者認為對供應鏈和運營產生了積極的影響。安全和風險緊隨其后，40%的受訪者在這些方面獲得了收益。

這些數(shù)字可能會繼續(xù)上升。據(jù)Spiceworks最近的一項調查，在員工人數(shù)超過1，000人的企業(yè)中，30%在他們的IT部門應用了人工智能，還有25%計劃明年實施。endprint

總部位于西雅圖的營銷代理公司Garrigan Lyman部署人工智能和機器學習技術，用于承擔一些網絡安全任務，包括監(jiān)控不正常的網絡和用戶活動，發(fā)現(xiàn)新的釣魚電子郵件等。該公司的首席技術官Chris Geiser說，否則，很難跟的上。他說：“黑客們都是志愿軍，不需要太多的教育和知識就能開始攻擊。他們很早就開始自動進行操作了?！?/p>

人工智能和機器學習給企業(yè)帶來了競爭優(yōu)勢。雖然該公司規(guī)模很小——只有125名員工，但基于云的部署使其能夠使用最新的技術，而且是快速應用。他說：“我們在幾周內就能讓這些就緒，運行起來，給我們帶來價值?！盙arrigan Lyman集團已部署了Alert Logic和Barracuda的人工智能安全工具，Geiser說他看到產品越來越智能了。

特別是，人工智能有助于讓工具快速適應公司的需求，而且不需要大量的前期培訓。Barracuda網絡有限公司的內容安全服務副總裁Asaf Cidon說：“例如，在一些公司中，如果首席執(zhí)行官使用非企業(yè)電子郵件地址，那是不正常的。而在其他公司，首席執(zhí)行官在移動設備上使用他們的個人電子郵件進行通信是完全正常的，但首席財務官從他們的個人地址發(fā)送電子郵件就不正常了，而人工智能模型能夠自動學習到以上這些情況?！?/p>

云交付的另一個好處是，供應商很容易根據(jù)他們整個客戶群的反饋來改進產品。Geiser說：“網絡安全很像是鄰里間的相互監(jiān)督。如果我看到街區(qū)那邊有自己不喜歡的東西，就會提醒大家可能有問題?！?/p>

對于網絡釣魚郵件或者網絡攻擊的情況，當新威脅在其他時區(qū)第一次出現(xiàn)時，發(fā)現(xiàn)它之后，就會給企業(yè)留有幾個小時的預警時間。Geiser說，這確實需要在一定程度上信任供應商。他說：“我們調查了供應商的聲譽，借鑒了其他公司，還進行了一些盡職調查，以確保供應商是合適的供應商，并按照審核和合規(guī)的最佳實踐，確保只有合法的人有權訪問?！?/p>

隨著企業(yè)首先從人工過程過渡到基于人工智能的自動化過程，他們需要另一種信任——除了能夠看到供應商的運營情況外，還要求實現(xiàn)人工智能決策過程的可視化。Respond Software公司首席執(zhí)行官和聯(lián)合創(chuàng)始人Mike Armistead說：“現(xiàn)在很多人工智能就像是個神秘的黑盒子，神奇地做著一些事情。而專家系統(tǒng)的關鍵是透明，這樣，人們才能相信你做了什么。這能得到更好的反饋，創(chuàng)造很好的良性循環(huán)，從而加強和改變模型?！?/p>

LexisNexis法律和專業(yè)的首席信息安全官Matt McKeever也承認，“你總是想知道它做出決定的原因。我們想弄清楚，我們是否理解這個決定是怎么做出的?！?/p>

該公司最近開始使用GreatHorn來保護其1萬2千名員工的電子郵件。McKeever說：“如果我們一開始時接收到的電子郵件來自一個看起來與合法域類似的域，那么將其標記為類似域，它告訴我們，‘我們之所以標記它，是因為它看起來像是您平時經常聯(lián)系的域，但域名頭標記看起來不太對。我們可以看到它是怎樣得出這一結論的，我們會說，‘是的，絕對有道理”。

隨著信任程度的提高，以及準確率的提高，LexisNexis將從簡單地標記可疑電子郵件轉為自動隔離它們。McKeever說：“到目前為止，結果都很好。我們非常有信心，我們標記的是惡意電子郵件，我們會開始隔離它們，這樣用戶就不會看到它了?！?/p>

之后，他的部門把工具擴展應用到LexisNexis使用Office 365的其他部門和業(yè)務領域，并考慮其他利用人工智能來實現(xiàn)網絡安全的方法。他說：“這是我們在機器學習安全方面早期進行的嘗試?！?/p>

人工智能怎樣先敵制勝，超越威脅

隨著數(shù)據(jù)的增多，人工智能會變得越來越好。當供應商積累了大量的數(shù)據(jù)后，他們的系統(tǒng)也可以學習發(fā)現(xiàn)新威脅的早期跡象。以SQL注入為例。Alert Logic為其4千名客戶每季度收集大約一百萬個事件，其中大約一半是SQL注入事件。Alert Logic共同創(chuàng)始人兼產品和營銷資深副總裁Misha Govshteyn說：“世界上沒有一家安全公司能夠以人工的方式查看每一次SQL注入是否成功?！?/p>

采用機器學習，供應商不僅能夠更迅速地處理事件，而且能夠從時間和地理上把這些事件關聯(lián)起來。他說：“有些攻擊需要幾個小時，有時幾天、幾周的時間，甚至幾個月的時間。它們不僅要花很長的時間來執(zhí)行，而且來自互聯(lián)網的不同地方。我認為，如果沒有部署機器學習，就不會探測到這些事件?！?/p>

收集大量關于安全威脅信息的另一家安全供應商是GreatHorn有限公司，這一基于云的電子郵件安全供應商使用了微軟的Office 365、谷歌的G套件和Slack。該公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Kevin O‘Brien說：“我們現(xiàn)在擁有大約10TB經過分析的威脅數(shù)據(jù)。我們開始把這些信息反饋到一個張量域中，這樣我們就能夠獲得不同類型的通信、不同類型的郵件服務、不同類型的消息傳遞之間的關系?！?/p>

這意味著該公司能夠發(fā)現(xiàn)新的威脅活動，并發(fā)送消息進行隔離，或者在將其確定為威脅前幾天發(fā)出警告。他說：“然后我們可以追溯回去，把它們從所有接收到的郵件收件箱中找出來?！?/p>

人工智能在網絡安全領域今后的應用

在用戶行為和網絡數(shù)據(jù)流中尋找可疑模式是機器智能目前最容易上手的工作。目前的機器學習系統(tǒng)比較擅長在大量數(shù)據(jù)中發(fā)現(xiàn)異常事件，并進行常規(guī)分析和響應。

下一步是利用人工智能解決更棘手的問題。例如，一家企業(yè)的實時網絡風險暴露程度取決于很多因素。這包括未打補丁的系統(tǒng)、不安全的端口、收到的魚叉式網絡釣魚電子郵件、特權帳戶和不安全密碼的數(shù)量、未加密的敏感數(shù)據(jù)量，以及它現(xiàn)在是否被某個民族國家的攻擊者給盯上了。

準確地全面了解其風險將有助于企業(yè)高效地部署資源，不論企業(yè)是否出現(xiàn)了泄露事件，都應該針對網絡安全性能建立一套指標。Balbix是一家專門解決預測泄露事件風險問題的創(chuàng)業(yè)公司，其創(chuàng)始人兼首席執(zhí)行官Gaurav Banga說：“目前，如果您想全面地了解環(huán)境，會發(fā)現(xiàn)要么沒有正確的收集數(shù)據(jù)，要么數(shù)據(jù)沒有轉換成有用的信息。

人工智能是解決這一難題的關鍵。Banga說：“我們有24種不同類型的人工智能算法。我們建立了一種自下而上的模型，一種風險熱圖覆蓋了環(huán)境的各個方面，進行點擊就能夠深入看下去為什么是紅色的。它是按規(guī)范進行的，所以它會告訴您，如果您能做這些事情，它就會變成黃色，最終變成綠色。您可以問問題——‘我現(xiàn)在能做的第一件事是什么？，或者‘我面臨怎樣的網絡釣魚風險？，或者‘WannaCry會給我?guī)硎裁达L險？”

未來，人工智能還將幫助企業(yè)決定他們需要投資哪些新的安全技術。CompTIA的首席技術督導James Stanger說：“當今的很多企業(yè)不知道網絡安全需要多大的投入，以及怎樣進行投入。我認為，我們需要人工智能來幫助提供度量標準，這樣，當首席信息官轉過身來與首席執(zhí)行官進行討論，或者與董事會交談時，他會說：‘這里有我們需要的資金，這是我們需要的資源，并且有真實而且有用的指標來證明這些成本?！?/p>

Alert Logic的Govshteyn說，還有很大的進步空間。他說：“人工智能在安全領域的應用還非常有限。我認為，我們實際上落后于其他行業(yè)。讓我驚訝的是，我們有了自動駕駛汽車，卻沒有自我防御的網絡?！?/p>

此外，現(xiàn)在的人工智能平臺實際上并沒有真正理解世界。McAfee公司首席技術官Steve Grobman說：“這些技術最擅長的是參考它們曾被訓練過的相似的數(shù)據(jù)集，對數(shù)據(jù)進行分類。但人工智能并不是真的智能。它不理解攻擊的概念。”

因此，人類響應者仍然是網絡防御解決方案的關鍵組成部分。Grobman說：“在網絡安全領域，你想探測同時也是人類的對手，而他則試圖阻止您的檢測技術?！?/p>

這與目前人工智能所應用的其他領域不同，例如圖像和語音識別或者天氣預報。Grobman說：“這不像颶風那樣，放出大話，‘我要改變物理定律，使水蒸發(fā)改變方式，讓人們很難跟蹤我。但在網絡安全領域，這正在發(fā)生。”

這方面正在取得進展。CrowdStrike公司首席科學家Sven Krasser說：“有一個被稱為生成對抗網絡的研究領域，其中，您有兩個機器學習模型，一個試圖檢測到某種東西，而另一個則查看是否有東西被檢測到了，并試圖繞過它。您可以在紅隊中應用類似的模式，發(fā)現(xiàn)新威脅?！眅ndprint