论文部分内容阅读
人工智能和机器学习能够为人手不足的安全部门提供支援——他们希望需要更快速高效地应对网络威胁。
自从2013年的Target泄露事件以来,人们清楚地认识到,当今的安全警报越来越多,企业应该更好地做出响应。而今年的勒索软件攻击传播非常快,合规要求也越来越严格,企业也必须要更快地响应。通过招聘很难招到网络安全员工,因此企业转向采用机器学习和人工智能(AI)来自动完成任务,更好地发现不良行为。
什么是人工智能和机器学习?
在网络安全环境中,人工智能是一种软件,能够很好地感知周围环境,发现违规事件,并按照预定义的目标采取相应的行动。人工智能特别擅长的是对模式进行识别并发现其中的异常,这使其成为检测威胁非常好的工具。
机器学习经常与人工智能一起使用。它是一种可以根据人类输入和所采取行动的结果,自己进行“学习”的软件。与人工智能一起,机器学习成为基于过去事件来预测结果的工具。
使用人工智能和机器学习来检测威胁
巴克莱非洲(Barclays Africa)正在开始使用人工智能和机器学习来检测网络安全威胁,并对其作出响应。巴克莱非洲首席安全官Kirsten Davies说:“现在有很多功能强大的工具,但必须知道怎样将其纳入到非常广泛的网络安全战略中。”
例如,该技术可以用于发现企业本地网络和云端是否出现泄露迹象。她说:“我们正在谈论的是大量的数据。随着全球威胁态势的变化,攻击方无论是在能力还是在协作方面都在快速发展,我们必须使用先进的工具和技术先敌制胜,超越威胁。”
人工智能和机器学习也使她能够做到让员工们人尽其才。她说:“我们需要的关键技能在全球范围内都是非常缺乏的。我们很早就意识到这一点了,而我们现在还是处于这种情况。我们再也不能继续以人工的方式进行下去了。”
并非只有银行如此。总部设在圣何塞的工程服务公司Cadence设计系统有限公司不断监测威胁,以维护其知识产权。3万台终端设备和8千2百个用户每天产生了250千兆至500千兆的安全相关数据流——而只有15名安全分析师监测这些数据流。该公司的首席信息安全官Sreeni Kancharla说:“这只是我们得到的一些网络数据,实际上有更多。应该采用机器学习和人工智能,这样就能够减少实际问题,更好地解决这些问题。”
Cadence借助Aruba网络和惠普的产品,使用这些技术来监视用户和实体的行为,并进行访问控制。Kancharla说,该平台最吸引人的是其无监督学习能力。他说:“这是一个不断变化的环境。如今,攻击是如此的复杂,他们现在做的一些不起眼的小事情可能会随着时间的推移,造成大数据泄露。这些工具确实帮助了我们。”
即使是规模较小的公司也难以应对安全数据过多的挑战。Daqri是一家洛杉矶的公司,为建筑业和制造业生产增强现实眼镜和头盔。公司有300名员工,但安全运营中心只有一个人。公司的信息技术和安全高级主管Minuk Kim说:“我们在发现并应对安全事件方面遇到的难题是需要大量的人力。”
公司采用了Vectra网络的人工智能工具来监测工作环境中大约1,200台设备的数据流。Kim说:“当您监测网络数据流时,能看到是否有人正在进行端口扫描,在主机之间跳转,或者以非常规的方法传输大量数据。”
该公司收集所有这些数据,分析它,并将其送入深度学习模型中。他说:“现在您能非常清楚地看出哪些数据流可能是恶意的。”
而且要迅速做出反应。他说:“这总是涉及到加强检测和响应反馈的能力。这正是人工智能发挥其长处的所在。如果能缩短检查所有这些事件的时间,将极大的提高洞察网络中正在发生的事情的能力,当出现严重的泄露事件时,您便能迅速发现并作出反应,把损失降到最低。”
网络安全越来越多地采用了人工智能
Nemertes Research首席执行官Johna Till Johnson证实说,采用人工智能和机器学习后,公司在快速响应威胁方面出现明显的不同。她说:“这真的有市场。的确有需求,人们也确实在这么做。”
Nemertes最近进行了一项全球安全调查,公司发现攻击并进行应对的平均时间是39天,而有些公司却能在几小时内完成。她说:“速度之所以提高了是与自动化有关,如果不使用人工智能和机器学习,则无法实现自动化。”
以探测为例,她说:“探测的中位数时间是一小时。”表现出色的公司通常在10分钟内完成这项工作——表现不佳的公司则需要几天到几周的时间。机器学习和分析技术几乎可以把这一时间降到零,这就是为什么表现出色的公司速度如此之快的原因所在。
同样地,在分析威胁时,中位数时间是三小时。表现出色的公司只需要几分钟,而其他公司则需要几天甚至几周的时间。她说,受调查的公司中已经有21%部署了行为威胁分析,另有12%的受访者表示,他们将在2017年年底前将其投入使用。
她说,金融服务公司在这方面尤其站在最前沿,因为它们拥有高价值的数据,往往在网络安全方面处于领先地位,并且有资金投在新技术上。“因为这并不便宜。”
當涉及到人工智能和机器学习更广泛的应用时,其使用量甚至更高。据Vanson Bourne于10月11日发布的调查,80%的企业已经在以某种形式使用人工智能。这项技术已经有了回报,人工智能最大的收获是产品创新和研发,50%的受访者认为这项技术完全改变了产品创新和研发,其次是46%的受访者认为对客服,42%的受访者认为对供应链和运营产生了积极的影响。安全和风险紧随其后,40%的受访者在这些方面获得了收益。
这些数字可能会继续上升。据Spiceworks最近的一项调查,在员工人数超过1,000人的企业中,30%在他们的IT部门应用了人工智能,还有25%计划明年实施。 总部位于西雅图的营销代理公司Garrigan Lyman部署人工智能和机器学习技术,用于承担一些网络安全任务,包括监控不正常的网络和用户活动,发现新的钓鱼电子邮件等。该公司的首席技术官Chris Geiser说,否则,很难跟的上。他说:“黑客们都是志愿军,不需要太多的教育和知识就能开始攻击。他们很早就开始自动进行操作了。”
人工智能和机器学习给企业带来了竞争优势。虽然该公司规模很小——只有125名员工,但基于云的部署使其能够使用最新的技术,而且是快速应用。他说:“我们在几周内就能让这些就绪,运行起来,给我们带来价值。”Garrigan Lyman集团已部署了Alert Logic和Barracuda的人工智能安全工具,Geiser说他看到产品越来越智能了。
特别是,人工智能有助于让工具快速适应公司的需求,而且不需要大量的前期培训。Barracuda网络有限公司的内容安全服务副总裁Asaf Cidon说:“例如,在一些公司中,如果首席执行官使用非企业电子邮件地址,那是不正常的。而在其他公司,首席执行官在移动设备上使用他们的个人电子邮件进行通信是完全正常的,但首席财务官从他们的个人地址发送电子邮件就不正常了,而人工智能模型能够自动学习到以上这些情况。”
云交付的另一个好处是,供应商很容易根据他们整个客户群的反馈来改进产品。Geiser说:“网络安全很像是邻里间的相互监督。如果我看到街区那边有自己不喜欢的东西,就会提醒大家可能有问题。”
对于网络钓鱼邮件或者网络攻击的情况,当新威胁在其他时区第一次出现时,发现它之后,就会给企业留有几个小时的预警时间。Geiser说,这确实需要在一定程度上信任供应商。他说:“我们调查了供应商的声誉,借鉴了其他公司,还进行了一些尽职调查,以确保供应商是合适的供应商,并按照审核和合规的最佳实践,确保只有合法的人有权访问。”
随着企业首先从人工过程过渡到基于人工智能的自动化过程,他們需要另一种信任——除了能够看到供应商的运营情况外,还要求实现人工智能决策过程的可视化。Respond Software公司首席执行官和联合创始人Mike Armistead说:“现在很多人工智能就像是个神秘的黑盒子,神奇地做着一些事情。而专家系统的关键是透明,这样,人们才能相信你做了什么。这能得到更好的反馈,创造很好的良性循环,从而加强和改变模型。”
LexisNexis法律和专业的首席信息安全官Matt McKeever也承认,“你总是想知道它做出决定的原因。我们想弄清楚,我们是否理解这个决定是怎么做出的。”
该公司最近开始使用GreatHorn来保护其1万2千名员工的电子邮件。McKeever说:“如果我们一开始时接收到的电子邮件来自一个看起来与合法域类似的域,那么将其标记为类似域,它告诉我们,‘我们之所以标记它,是因为它看起来像是您平时经常联系的域,但域名头标记看起来不太对。我们可以看到它是怎样得出这一结论的,我们会说,‘是的,绝对有道理’”。
随着信任程度的提高,以及准确率的提高,LexisNexis将从简单地标记可疑电子邮件转为自动隔离它们。McKeever说:“到目前为止,结果都很好。我们非常有信心,我们标记的是恶意电子邮件,我们会开始隔离它们,这样用户就不会看到它了。”
之后,他的部门把工具扩展应用到LexisNexis使用Office 365的其他部门和业务领域,并考虑其他利用人工智能来实现网络安全的方法。他说:“这是我们在机器学习安全方面早期进行的尝试。”
人工智能怎样先敌制胜,超越威胁
随着数据的增多,人工智能会变得越来越好。当供应商积累了大量的数据后,他们的系统也可以学习发现新威胁的早期迹象。以SQL注入为例。Alert Logic为其4千名客户每季度收集大约一百万个事件,其中大约一半是SQL注入事件。Alert Logic共同创始人兼产品和营销资深副总裁Misha Govshteyn说:“世界上没有一家安全公司能够以人工的方式查看每一次SQL注入是否成功。”
采用机器学习,供应商不仅能够更迅速地处理事件,而且能够从时间和地理上把这些事件关联起来。他说:“有些攻击需要几个小时,有时几天、几周的时间,甚至几个月的时间。它们不仅要花很长的时间来执行,而且来自互联网的不同地方。我认为,如果没有部署机器学习,就不会探测到这些事件。”
收集大量关于安全威胁信息的另一家安全供应商是GreatHorn有限公司,这一基于云的电子邮件安全供应商使用了微软的Office 365、谷歌的G套件和Slack。该公司的联合创始人兼首席执行官Kevin O‘Brien说:“我们现在拥有大约10TB经过分析的威胁数据。我们开始把这些信息反馈到一个张量域中,这样我们就能够获得不同类型的通信、不同类型的邮件服务、不同类型的消息传递之间的关系。”
这意味着该公司能够发现新的威胁活动,并发送消息进行隔离,或者在将其确定为威胁前几天发出警告。他说:“然后我们可以追溯回去,把它们从所有接收到的邮件收件箱中找出来。”
人工智能在网络安全领域今后的应用
在用户行为和网络数据流中寻找可疑模式是机器智能目前最容易上手的工作。目前的机器学习系统比较擅长在大量数据中发现异常事件,并进行常规分析和响应。
下一步是利用人工智能解决更棘手的问题。例如,一家企业的实时网络风险暴露程度取决于很多因素。这包括未打补丁的系统、不安全的端口、收到的鱼叉式网络钓鱼电子邮件、特权帐户和不安全密码的数量、未加密的敏感数据量,以及它现在是否被某个民族国家的攻击者给盯上了。
准确地全面了解其风险将有助于企业高效地部署资源,不论企业是否出现了泄露事件,都应该针对网络安全性能建立一套指标。Balbix是一家专门解决预测泄露事件风险问题的创业公司,其创始人兼首席执行官Gaurav Banga说:“目前,如果您想全面地了解环境,会发现要么没有正确的收集数据,要么数据没有转换成有用的信息。
人工智能是解决这一难题的关键。Banga说:“我们有24种不同类型的人工智能算法。我们建立了一种自下而上的模型,一种风险热图覆盖了环境的各个方面,进行点击就能够深入看下去为什么是红色的。它是按规范进行的,所以它会告诉您,如果您能做这些事情,它就会变成黄色,最终变成绿色。您可以问问题——‘我现在能做的第一件事是什么?’,或者‘我面临怎样的网络钓鱼风险?’,或者‘WannaCry会给我带来什么风险?’”
未来,人工智能还将帮助企业决定他们需要投资哪些新的安全技术。CompTIA的首席技术督导James Stanger说:“当今的很多企业不知道网络安全需要多大的投入,以及怎样进行投入。我认为,我们需要人工智能来帮助提供度量标准,这样,当首席信息官转过身来与首席执行官进行讨论,或者与董事会交谈时,他会说:‘这里有我们需要的资金,这是我们需要的资源’,并且有真实而且有用的指标来证明这些成本。”
Alert Logic的Govshteyn说,还有很大的进步空间。他说:“人工智能在安全领域的应用还非常有限。我认为,我们实际上落后于其他行业。让我惊讶的是,我们有了自动驾驶汽车,却没有自我防御的网络。”
此外,现在的人工智能平台实际上并没有真正理解世界。McAfee公司首席技术官Steve Grobman说:“这些技术最擅长的是参考它们曾被训练过的相似的数据集,对数据进行分类。但人工智能并不是真的智能。它不理解攻击的概念。”
因此,人类响应者仍然是网络防御解决方案的关键组成部分。Grobman说:“在网络安全领域,你想探测同时也是人类的对手,而他则试图阻止您的检测技术。”
这与目前人工智能所应用的其他领域不同,例如图像和语音识别或者天气预报。Grobman说:“这不像飓风那样,放出大话,‘我要改变物理定律,使水蒸发改变方式,让人们很难跟踪我。’但在网络安全领域,这正在发生。”
这方面正在取得进展。CrowdStrike公司首席科学家Sven Krasser说:“有一个被称为生成对抗网络的研究领域,其中,您有两个机器学习模型,一个试图检测到某种东西,而另一个则查看是否有东西被检测到了,并试图绕过它。您可以在红队中应用类似的模式,发现新威胁。”
自从2013年的Target泄露事件以来,人们清楚地认识到,当今的安全警报越来越多,企业应该更好地做出响应。而今年的勒索软件攻击传播非常快,合规要求也越来越严格,企业也必须要更快地响应。通过招聘很难招到网络安全员工,因此企业转向采用机器学习和人工智能(AI)来自动完成任务,更好地发现不良行为。
什么是人工智能和机器学习?
在网络安全环境中,人工智能是一种软件,能够很好地感知周围环境,发现违规事件,并按照预定义的目标采取相应的行动。人工智能特别擅长的是对模式进行识别并发现其中的异常,这使其成为检测威胁非常好的工具。
机器学习经常与人工智能一起使用。它是一种可以根据人类输入和所采取行动的结果,自己进行“学习”的软件。与人工智能一起,机器学习成为基于过去事件来预测结果的工具。
使用人工智能和机器学习来检测威胁
巴克莱非洲(Barclays Africa)正在开始使用人工智能和机器学习来检测网络安全威胁,并对其作出响应。巴克莱非洲首席安全官Kirsten Davies说:“现在有很多功能强大的工具,但必须知道怎样将其纳入到非常广泛的网络安全战略中。”
例如,该技术可以用于发现企业本地网络和云端是否出现泄露迹象。她说:“我们正在谈论的是大量的数据。随着全球威胁态势的变化,攻击方无论是在能力还是在协作方面都在快速发展,我们必须使用先进的工具和技术先敌制胜,超越威胁。”
人工智能和机器学习也使她能够做到让员工们人尽其才。她说:“我们需要的关键技能在全球范围内都是非常缺乏的。我们很早就意识到这一点了,而我们现在还是处于这种情况。我们再也不能继续以人工的方式进行下去了。”
并非只有银行如此。总部设在圣何塞的工程服务公司Cadence设计系统有限公司不断监测威胁,以维护其知识产权。3万台终端设备和8千2百个用户每天产生了250千兆至500千兆的安全相关数据流——而只有15名安全分析师监测这些数据流。该公司的首席信息安全官Sreeni Kancharla说:“这只是我们得到的一些网络数据,实际上有更多。应该采用机器学习和人工智能,这样就能够减少实际问题,更好地解决这些问题。”
Cadence借助Aruba网络和惠普的产品,使用这些技术来监视用户和实体的行为,并进行访问控制。Kancharla说,该平台最吸引人的是其无监督学习能力。他说:“这是一个不断变化的环境。如今,攻击是如此的复杂,他们现在做的一些不起眼的小事情可能会随着时间的推移,造成大数据泄露。这些工具确实帮助了我们。”
即使是规模较小的公司也难以应对安全数据过多的挑战。Daqri是一家洛杉矶的公司,为建筑业和制造业生产增强现实眼镜和头盔。公司有300名员工,但安全运营中心只有一个人。公司的信息技术和安全高级主管Minuk Kim说:“我们在发现并应对安全事件方面遇到的难题是需要大量的人力。”
公司采用了Vectra网络的人工智能工具来监测工作环境中大约1,200台设备的数据流。Kim说:“当您监测网络数据流时,能看到是否有人正在进行端口扫描,在主机之间跳转,或者以非常规的方法传输大量数据。”
该公司收集所有这些数据,分析它,并将其送入深度学习模型中。他说:“现在您能非常清楚地看出哪些数据流可能是恶意的。”
而且要迅速做出反应。他说:“这总是涉及到加强检测和响应反馈的能力。这正是人工智能发挥其长处的所在。如果能缩短检查所有这些事件的时间,将极大的提高洞察网络中正在发生的事情的能力,当出现严重的泄露事件时,您便能迅速发现并作出反应,把损失降到最低。”
网络安全越来越多地采用了人工智能
Nemertes Research首席执行官Johna Till Johnson证实说,采用人工智能和机器学习后,公司在快速响应威胁方面出现明显的不同。她说:“这真的有市场。的确有需求,人们也确实在这么做。”
Nemertes最近进行了一项全球安全调查,公司发现攻击并进行应对的平均时间是39天,而有些公司却能在几小时内完成。她说:“速度之所以提高了是与自动化有关,如果不使用人工智能和机器学习,则无法实现自动化。”
以探测为例,她说:“探测的中位数时间是一小时。”表现出色的公司通常在10分钟内完成这项工作——表现不佳的公司则需要几天到几周的时间。机器学习和分析技术几乎可以把这一时间降到零,这就是为什么表现出色的公司速度如此之快的原因所在。
同样地,在分析威胁时,中位数时间是三小时。表现出色的公司只需要几分钟,而其他公司则需要几天甚至几周的时间。她说,受调查的公司中已经有21%部署了行为威胁分析,另有12%的受访者表示,他们将在2017年年底前将其投入使用。
她说,金融服务公司在这方面尤其站在最前沿,因为它们拥有高价值的数据,往往在网络安全方面处于领先地位,并且有资金投在新技术上。“因为这并不便宜。”
當涉及到人工智能和机器学习更广泛的应用时,其使用量甚至更高。据Vanson Bourne于10月11日发布的调查,80%的企业已经在以某种形式使用人工智能。这项技术已经有了回报,人工智能最大的收获是产品创新和研发,50%的受访者认为这项技术完全改变了产品创新和研发,其次是46%的受访者认为对客服,42%的受访者认为对供应链和运营产生了积极的影响。安全和风险紧随其后,40%的受访者在这些方面获得了收益。
这些数字可能会继续上升。据Spiceworks最近的一项调查,在员工人数超过1,000人的企业中,30%在他们的IT部门应用了人工智能,还有25%计划明年实施。 总部位于西雅图的营销代理公司Garrigan Lyman部署人工智能和机器学习技术,用于承担一些网络安全任务,包括监控不正常的网络和用户活动,发现新的钓鱼电子邮件等。该公司的首席技术官Chris Geiser说,否则,很难跟的上。他说:“黑客们都是志愿军,不需要太多的教育和知识就能开始攻击。他们很早就开始自动进行操作了。”
人工智能和机器学习给企业带来了竞争优势。虽然该公司规模很小——只有125名员工,但基于云的部署使其能够使用最新的技术,而且是快速应用。他说:“我们在几周内就能让这些就绪,运行起来,给我们带来价值。”Garrigan Lyman集团已部署了Alert Logic和Barracuda的人工智能安全工具,Geiser说他看到产品越来越智能了。
特别是,人工智能有助于让工具快速适应公司的需求,而且不需要大量的前期培训。Barracuda网络有限公司的内容安全服务副总裁Asaf Cidon说:“例如,在一些公司中,如果首席执行官使用非企业电子邮件地址,那是不正常的。而在其他公司,首席执行官在移动设备上使用他们的个人电子邮件进行通信是完全正常的,但首席财务官从他们的个人地址发送电子邮件就不正常了,而人工智能模型能够自动学习到以上这些情况。”
云交付的另一个好处是,供应商很容易根据他们整个客户群的反馈来改进产品。Geiser说:“网络安全很像是邻里间的相互监督。如果我看到街区那边有自己不喜欢的东西,就会提醒大家可能有问题。”
对于网络钓鱼邮件或者网络攻击的情况,当新威胁在其他时区第一次出现时,发现它之后,就会给企业留有几个小时的预警时间。Geiser说,这确实需要在一定程度上信任供应商。他说:“我们调查了供应商的声誉,借鉴了其他公司,还进行了一些尽职调查,以确保供应商是合适的供应商,并按照审核和合规的最佳实践,确保只有合法的人有权访问。”
随着企业首先从人工过程过渡到基于人工智能的自动化过程,他們需要另一种信任——除了能够看到供应商的运营情况外,还要求实现人工智能决策过程的可视化。Respond Software公司首席执行官和联合创始人Mike Armistead说:“现在很多人工智能就像是个神秘的黑盒子,神奇地做着一些事情。而专家系统的关键是透明,这样,人们才能相信你做了什么。这能得到更好的反馈,创造很好的良性循环,从而加强和改变模型。”
LexisNexis法律和专业的首席信息安全官Matt McKeever也承认,“你总是想知道它做出决定的原因。我们想弄清楚,我们是否理解这个决定是怎么做出的。”
该公司最近开始使用GreatHorn来保护其1万2千名员工的电子邮件。McKeever说:“如果我们一开始时接收到的电子邮件来自一个看起来与合法域类似的域,那么将其标记为类似域,它告诉我们,‘我们之所以标记它,是因为它看起来像是您平时经常联系的域,但域名头标记看起来不太对。我们可以看到它是怎样得出这一结论的,我们会说,‘是的,绝对有道理’”。
随着信任程度的提高,以及准确率的提高,LexisNexis将从简单地标记可疑电子邮件转为自动隔离它们。McKeever说:“到目前为止,结果都很好。我们非常有信心,我们标记的是恶意电子邮件,我们会开始隔离它们,这样用户就不会看到它了。”
之后,他的部门把工具扩展应用到LexisNexis使用Office 365的其他部门和业务领域,并考虑其他利用人工智能来实现网络安全的方法。他说:“这是我们在机器学习安全方面早期进行的尝试。”
人工智能怎样先敌制胜,超越威胁
随着数据的增多,人工智能会变得越来越好。当供应商积累了大量的数据后,他们的系统也可以学习发现新威胁的早期迹象。以SQL注入为例。Alert Logic为其4千名客户每季度收集大约一百万个事件,其中大约一半是SQL注入事件。Alert Logic共同创始人兼产品和营销资深副总裁Misha Govshteyn说:“世界上没有一家安全公司能够以人工的方式查看每一次SQL注入是否成功。”
采用机器学习,供应商不仅能够更迅速地处理事件,而且能够从时间和地理上把这些事件关联起来。他说:“有些攻击需要几个小时,有时几天、几周的时间,甚至几个月的时间。它们不仅要花很长的时间来执行,而且来自互联网的不同地方。我认为,如果没有部署机器学习,就不会探测到这些事件。”
收集大量关于安全威胁信息的另一家安全供应商是GreatHorn有限公司,这一基于云的电子邮件安全供应商使用了微软的Office 365、谷歌的G套件和Slack。该公司的联合创始人兼首席执行官Kevin O‘Brien说:“我们现在拥有大约10TB经过分析的威胁数据。我们开始把这些信息反馈到一个张量域中,这样我们就能够获得不同类型的通信、不同类型的邮件服务、不同类型的消息传递之间的关系。”
这意味着该公司能够发现新的威胁活动,并发送消息进行隔离,或者在将其确定为威胁前几天发出警告。他说:“然后我们可以追溯回去,把它们从所有接收到的邮件收件箱中找出来。”
人工智能在网络安全领域今后的应用
在用户行为和网络数据流中寻找可疑模式是机器智能目前最容易上手的工作。目前的机器学习系统比较擅长在大量数据中发现异常事件,并进行常规分析和响应。
下一步是利用人工智能解决更棘手的问题。例如,一家企业的实时网络风险暴露程度取决于很多因素。这包括未打补丁的系统、不安全的端口、收到的鱼叉式网络钓鱼电子邮件、特权帐户和不安全密码的数量、未加密的敏感数据量,以及它现在是否被某个民族国家的攻击者给盯上了。
准确地全面了解其风险将有助于企业高效地部署资源,不论企业是否出现了泄露事件,都应该针对网络安全性能建立一套指标。Balbix是一家专门解决预测泄露事件风险问题的创业公司,其创始人兼首席执行官Gaurav Banga说:“目前,如果您想全面地了解环境,会发现要么没有正确的收集数据,要么数据没有转换成有用的信息。
人工智能是解决这一难题的关键。Banga说:“我们有24种不同类型的人工智能算法。我们建立了一种自下而上的模型,一种风险热图覆盖了环境的各个方面,进行点击就能够深入看下去为什么是红色的。它是按规范进行的,所以它会告诉您,如果您能做这些事情,它就会变成黄色,最终变成绿色。您可以问问题——‘我现在能做的第一件事是什么?’,或者‘我面临怎样的网络钓鱼风险?’,或者‘WannaCry会给我带来什么风险?’”
未来,人工智能还将帮助企业决定他们需要投资哪些新的安全技术。CompTIA的首席技术督导James Stanger说:“当今的很多企业不知道网络安全需要多大的投入,以及怎样进行投入。我认为,我们需要人工智能来帮助提供度量标准,这样,当首席信息官转过身来与首席执行官进行讨论,或者与董事会交谈时,他会说:‘这里有我们需要的资金,这是我们需要的资源’,并且有真实而且有用的指标来证明这些成本。”
Alert Logic的Govshteyn说,还有很大的进步空间。他说:“人工智能在安全领域的应用还非常有限。我认为,我们实际上落后于其他行业。让我惊讶的是,我们有了自动驾驶汽车,却没有自我防御的网络。”
此外,现在的人工智能平台实际上并没有真正理解世界。McAfee公司首席技术官Steve Grobman说:“这些技术最擅长的是参考它们曾被训练过的相似的数据集,对数据进行分类。但人工智能并不是真的智能。它不理解攻击的概念。”
因此,人类响应者仍然是网络防御解决方案的关键组成部分。Grobman说:“在网络安全领域,你想探测同时也是人类的对手,而他则试图阻止您的检测技术。”
这与目前人工智能所应用的其他领域不同,例如图像和语音识别或者天气预报。Grobman说:“这不像飓风那样,放出大话,‘我要改变物理定律,使水蒸发改变方式,让人们很难跟踪我。’但在网络安全领域,这正在发生。”
这方面正在取得进展。CrowdStrike公司首席科学家Sven Krasser说:“有一个被称为生成对抗网络的研究领域,其中,您有两个机器学习模型,一个试图检测到某种东西,而另一个则查看是否有东西被检测到了,并试图绕过它。您可以在红队中应用类似的模式,发现新威胁。”