2018年08月29日
安全產品中的人工智能(AI)和機器學習(ML)在市場營銷上炒作太甚,各種花哨的術語反而把這些工具實際的用途給弄得云山霧罩難以理解。那么,安全中的AI和ML,當下到底是個什么狀況呢?
不妨先從消除最常見的誤解開始:企業安全軟件中基本沒有融入什么真正的人工智能。AI這個術語頻繁出現不過是市場營銷的功勞,跟該技術本身的關系極其有限。純粹的AI,應該能夠重現認知能力。
話雖如此,人工智能眾多子領域之一的機器學習,倒是正被植入一些安全軟件中。但即便是機器學習這詞兒,用得也有些樂觀了。
當前安全軟件中機器學習的使用,更像是上世紀80和90年代基于規則的“專家系統”,而非真正的AI應用。如果你曾用過貝葉斯垃圾郵件過濾,并以成千上萬的已知垃圾郵件和正常郵件加以訓練,你就會對機器學習的工作機制有一定了解。大多數情況下,自訓練是不太可能的,需引入包括編程在內的人工干預動作來更新ML的訓練。安全中存在太多變量、太多數據點,保持訓練更新而有效是非常困難的。
但如果能以大量數據加以訓練,并由非常清楚自己在干什么的專家來使用,機器學習也可以變得非常有效。雖然復雜系統也不是不可能,但機器學習在更有針對性的任務或任務集上的表現,要優于在內容寬泛的任務上的表現。
機器學習的強項之一是異常檢測,這是用戶及實體行為分析(UEBA)的基礎。簡單講,UEBA所做的,就是確定給定設備表現或承受的行為是否異常。UEBA天然適用于很多主流網絡安全防御行為。
機器學習系統如果訓練深入而良好,大多數情況下也就定義出了已知良性事件。這能讓威脅情報或安全監視系統專注于識別異常。
但如果ML系統只以供應商自己的通用數據加以訓練,會發生什么情況?如果用于訓練的事件數量不足呢?或者,缺乏定義的異常點太多,導致背景噪音不斷增大,又會怎樣?
你可能會被企業威脅檢測軟件的痛苦之源給拖垮:無窮無盡連綿不絕的誤報!也就是說,如果不持續不斷地訓練機器學習系統,就得不到ML應提供的真正優勢。而隨著時間流逝,你的系統將變得越來越沒效果。
除去上述注意事項,機器學習可以彌合安全過程,并為安全運營中心(SOC)員工提供建議。機器學習體現了更強大的AI系統可能帶來的光明前景。事實上,當前網絡安全領域中,機器學習已經在發揮作用了。
機器學習的9大企業安全用例
1. 檢測并輔助挫敗正在進行中的網絡攻擊
或許我們無法在攻擊發生前就關上它們侵入的大門,至少現在還不能,但機器學習可以搶在人類前面發現入侵指標,然后建議可采取的緩解行動。可以采用機器學習檢測未知DDoS攻擊的程度,也能用它標定攻擊流量,然后自動產生用以阻止攻擊的特征簽名。
2. 威脅情報
機器學習善于分析大量數據并分類所發現的各種行為,只要發現超出正常基準的東西,便會立即通報人類分析師。
機器學習還是快速甄別海量數據的倍增器,可以推動甄別工作以大幅超出人工判斷的速度進行。惡意黑客常會使用過載戰術拖垮安全運營中心。雖然說起來容易做起來難,但威脅檢測系統越貼近實時就越有效。
3. 識別漏洞,確定漏洞優先級,緩解漏洞
這3個動作應該是所有企業的經常性工作,但如果有套靠譜的機器學習系統每天執行這些操作,企業安全中最大的隱患——未修復漏洞,可能就不用再過多關注了。
4. 安全監視
是跟蹤網絡流量、內部及外部行為、數據訪問和一系列其他功能及行為情況的過程。編程恰當的話,機器學習是可以消費大量數據來查找異常的。所以,運用ML,可能才是在一系列產品所產生的眾多日志文件和錯誤消息中游刃有余地旋轉騰挪的正確姿勢。
5. 檢測包括勒索軟件網絡釣魚攻擊在內的惡意軟件
勒索軟件家族日益發展壯大。機器學習可能是我們能夠對抗變種繁多的勒索軟件的唯一武器,基于特征簽名的方法面向過去,只能檢測出昨天的勒索軟件。異常行為檢查的能力正被應用到勒索軟件追蹤工作中,效果良好。
6. 審查代碼查找漏洞
敏捷安全開發運維(DevSecOps)的真言之一,就是“安全即代碼”。
開發人員應該知道怎樣安全編碼,但機器學習可以輔助自動化該安全編碼過程,它可以分析代碼,查找常見編碼缺陷和可被利用的漏洞。事實上,機器學習甚至可以被當做教導編程新手的工具。
7. 數據分類
為符合數據隱私及數據保護規定,你首先得清楚自己所保護的數據都有哪些特征。機器學習可被用于掃描新進入的數據,將之按敏感度等級分類,以便你的系統可以按所需方式提供保護。
8. 蜜罐
有一個特定的領域——蜜罐,是適合接近真正AI的深度學習技術可與當下自動化緩解技術聯合應用的。
在企業網絡中圍繞互聯網部署蜜罐,可以收集那些能被標記為惡意的數據。蜜罐檢測到的每個事件或流量實例都是100%惡意的。只要有足夠的蜜罐和數據,就可以運用深度神經網絡來創建高置信度的攻擊檢測模型。
9. 預測并自適應未來威脅
已有少數公司在研究預測性安全分析。預測分析顯露出了商業智能的一些前景。類似的機器學習技術是否能增強到可投射出未來的漏洞和數據泄露?答案尚無定論。
探悉事實真相
有專家認為,當前根本沒有基于人工智能的產品。這話可能有些夸張了。
AI是個涵蓋很廣的術語,可以泛指包括機器學習在內的很多技術,甚至一些技術上并非人工智能的技術都可以代指。但如果從最嚴格的意義上看人工智能,那它就只指具備認知能力的計算機系統。對此,有人堅稱,當下“基于AI”的安全產品都是“假貨”。
但AI潛力巨大,在未來的安全領域中必將起到重要作用。然而,今天的企業安全中,并沒有多少成功部署了AI的例子。倒是機器學習還有些安全用例。
安全產品中的AI炒作太甚,令人無奈。
太多安全供應商吹噓自己的產品應用了AI技術,但實際上卻仍是用蠻力在連線固定規則,而非應用智能。那么CSO/CISO該怎么詢問供應商,才可以看破他們過度包裝機器學習的忽悠伎倆呢?
首先你得了解訓練ML或AI所用的具體機制。然后你可以問:“你的機器學習是怎么學的?”“訓練該ML需要多少數據?重訓練隔多久一次?與該學習算法協作的機制是什么?人類怎么給該算法打分?該ML或AI是存檔數據集也能處理還是只能處理在線數據?”
當然你也可以在實驗室中復現用戶企業環境,然后聘用信譽較高的紅隊來反復入侵該環境,從而評估基于AI的安全解決方案。
結語
AI應用到各行各業中只不過是個時間問題,而這里的各行各業就包括了網絡犯罪。每次安全界弄出個新的防御,網絡罪犯就會開發出繞過這種防御的方法。AI則會大幅加速這一周期。可以想象一下這樣的場景:智能犯罪系統每時每刻都在試圖侵入銀行、醫院和能源公司。當然,這些機構的AI系統將會以每秒數百次的快捷操作來應對,將網絡罪犯拒之門外。這是AI將呈現的挑戰與機遇。