隨著網(wǎng)絡攻擊在性質和目標上變得越來越多樣化，網(wǎng)絡安全人員是否有正確的可見性來確定如何解決漏洞是至關重要的，而人工智能將可以幫助提出人類無法單獨解決的問題。

“網(wǎng)絡安全就像是一盤國際象棋，”Palo Alto網(wǎng)絡公司的EMEA首席安全官Greg Day表示。“對手試圖擊敗受害者，而受害者則旨在阻止對手的攻擊。數(shù)據(jù)是王者，也是最終的獎品。”

“1996年，人工智能國際象棋系統(tǒng)“深藍”在第一場比賽中擊敗了世界冠軍Garry Kasparov。很明顯，人工智能可以通過編程的方式在規(guī)范之外進行更廣泛、更快和更遠的思考，而現(xiàn)在它在網(wǎng)絡安全領域的許多應用也是如此?！?/p>

有鑒于此，我們探索了人工智能在當今網(wǎng)絡安全中的特殊使用案例。

與員工一起工作

Day接著詳述了人工智能是如何與網(wǎng)絡安全人員合作，以確保組織安全的。

“我們都知道市場上沒有足夠的網(wǎng)絡安全人員，所以人工智能可以幫助填補這一空白，”他表示。機器學習是人工智能的一種形式，它可以讀取SoC分析師的輸入，并將其轉置到一個不斷擴大的數(shù)據(jù)庫當中。

“下一次，當SoC分析員輸入類似的癥狀時，他們就會根據(jù)統(tǒng)計分析和神經(jīng)網(wǎng)絡的使用，給出以前類似的案例和解決方案，從而減少人力投入。

“如果沒有以前的案例，人工智能也可以分析事件的特征，并根據(jù)過去的經(jīng)驗，建議哪個SoC工程師是解決問題的最強人選。

“所有這些實際上都是一個機器人，一個將人類知識與數(shù)字學習相結合的自動化過程，以提供一種更有效的混合解決方案?！?/p>

對抗機器人

Netacea數(shù)據(jù)科學主管Mark Greenwood研究了機器人在網(wǎng)絡安全中的好處，并強調(diào)了企業(yè)必須能夠區(qū)分好的和壞的。

“如今，機器人占據(jù)了互聯(lián)網(wǎng)流量的絕大部分，”Greenwood解釋說。“而且大多數(shù)都是危險的。從使用竊取的憑證進行賬戶收購，到創(chuàng)建虛假賬戶和欺詐，它們構成了真正的網(wǎng)絡安全威脅。

“但是企業(yè)無法僅僅依靠人類的反應來對抗自動化的威脅。如果他們真的想解決“機器人問題”，他們就必須使用人工智能和機器學習。為什么？因為要真正區(qū)分好的機器人（比如搜索引擎抓取器）、壞的機器人和人類，企業(yè)就必須利用人工智能和機器學習來全面了解自己的網(wǎng)站流量。

“攝取和分析大量數(shù)據(jù)是必要的，而人工智能能夠使這成為可能，而采用機器學習方法將使網(wǎng)絡安全團隊能夠調(diào)整他們的技術，以適應不斷變化的環(huán)境?！?/p>

“通過觀察用戶的行為模式，企業(yè)將得到以下問題的答案：‘普通用戶的旅程是什么樣的’和‘不尋常的冒險旅程是什么樣的’。從這里，我們可以了解他們網(wǎng)站流量的意圖，讓他們領先于那些壞的機器人。”

端點保護

SolarWinds負責安全架構的副總裁Tim Brown在考慮可以從該技術獲益的網(wǎng)絡安全的某些方面時表示，人工智能也可以在保護端點方面發(fā)揮作用。隨著用于工作的遠程設備數(shù)量的增加，這一點將變得越來越重要。

“通過遵循最佳實踐建議并及時更新補丁和其他更新，一個組織可以及時的做出反應，抵御威脅，”Brown說。“而且人工智能也可能會給IT和安全專業(yè)人士帶來一個對抗網(wǎng)絡犯罪的優(yōu)勢。”

反病毒（AV）與人工智能驅動的端點保護就是這樣的一個例子;AV解決方案通常是基于簽名來工作的，因此有必要及時跟上簽名定義，以保持對最新威脅的保護。這的確會是一個問題，如果病毒定義落后了，要么是因為更新失敗，要么是因為病毒供應商缺乏知識。如果一個新的，以前沒有出現(xiàn)過的勒索軟件被用來攻擊一家企業(yè)，簽名保護將無法捕捉到它。

人工智能驅動的端點保護采取了不同的策略，通過反復的培訓過程為端點建立了行為基線。如果發(fā)生異常情況，人工智能就可以標記它并采取行動--無論是向技術人員發(fā)送通知，還是在勒索軟件攻擊后恢復到安全狀態(tài)。這也提供了針對威脅的主動預防性保護，而不是等待簽名的更新。

“人工智能模式已經(jīng)被證明了會比傳統(tǒng)的AV更為有效。對于許多由MSP服務的中小型公司來說，人工智能驅動的端點保護的成本通常只適用于少量設備，因此沒有引起太多關注。另一個需要考慮的事情是感染后的清理成本--如果人工智能驅動的解決方案有助于避免潛在的感染，那么它也可以通過避免清理成本來為自己買單，從而創(chuàng)造更高的客戶滿意度?！?/p>

機器學習和短信詐騙

隨著越來越多的員工開始在家工作，并且可能更頻繁地使用個人設備來完成任務并與同事合作，警惕短信中可能存在的欺詐行為是很重要的。

“由于惡意行為者的攻擊載體的多樣化，包括使用Covid-19來作為短信釣魚詐騙的誘餌，組織正面臨著加強防御的巨大壓力，”MobileIron負責產(chǎn)品管理的高級副總裁Brian Foster表示。

“為了保護設備和數(shù)據(jù)免受這些高級攻擊，機器學習在移動威脅防御（MTD）和其他形式的托管威脅檢測方面的使用將繼續(xù)發(fā)展成為一種高效的安全方法?！?/p>

“可以對機器學習模型進行培訓，以立即識別和防范潛在的有害活動，包括其他解決方案無法及時檢測到的未知威脅和零日威脅。同樣重要的是，當通過統(tǒng)一端點管理（UEM）平臺部署基于機器學習的MTD時，它還可以增強UEM所提供的基礎安全性，以支持分層的企業(yè)移動安全策略。

“機器學習是一項強大而又不引人注目的技術，它可以隨著時間的推移不斷監(jiān)控應用程序和用戶行為，從而識別出正常和異常行為之間的區(qū)別?！庇嗅槍π缘墓敉ǔ谠O備上產(chǎn)生一個非常微妙的變化，而人類的分析人員是看不到這些變化的。有時，只有通過機器學習將數(shù)千個設備參數(shù)關聯(lián)起來，才能對其進行檢測?！?/p>

要克服的障礙

這些用例和更多的例子證明了人工智能和網(wǎng)絡安全人員有效結合的可行性。然而，Panaseer的產(chǎn)品副總裁Mike MacIntyre認為，要想真正的實現(xiàn)這一目標，該領域仍有許多障礙需要克服。

“人工智能當然有很多前景，但作為一個行業(yè)，我們必須清楚，它目前還不是緩解所有網(wǎng)絡安全挑戰(zhàn)和解決技能短缺的靈丹妙藥，”MacIntyre表示。這是因為人工智能目前只是一個用于機器學習技術小子集的術語。很多關于人工智能的炒作都是來自于企業(yè)安全產(chǎn)品是如何采用這個術語的，以及對人工智能所構成的誤解（有意或無意）。

“嵌入在許多現(xiàn)代安全產(chǎn)品中的算法最多只能被稱為狹義或弱人工智能;他們在單一、狹窄的領域中執(zhí)行著高度專業(yè)化的任務，并接受過針對單一領域的大量數(shù)據(jù)的訓練。這與一般或強人工智能相去甚遠，而后者是一種可以執(zhí)行任何一般性任務并跨多個領域回答問題的系統(tǒng)。誰也不知道這樣一個系統(tǒng)還有多遠（從下一個十年到永遠都不會有爭議），但是沒有一個CISO應該把這樣一個工具納入到他們的3-5年戰(zhàn)略之中。

“另一個阻礙人工智能有效性的關鍵障礙是數(shù)據(jù)完整性的問題。如果你不能訪問相關的數(shù)據(jù)，或者不愿意在網(wǎng)絡上安裝一些東西，那么部署一個人工智能產(chǎn)品就是沒有意義的。安全的未來一定是數(shù)據(jù)驅動的，但人工智能產(chǎn)品想要實現(xiàn)它們的營銷宣傳承諾，還有很長的一段路要走?！?br /> 責編AJX