單純的反惡意軟件或登錄審核等傳統網(wǎng)絡(luò )安全工具在2020年還不夠用-需要額外的資源來(lái)保護組織及其員工免受網(wǎng)絡(luò )威脅。人工智能(AI)和機器學(xué)習(ML)正在網(wǎng)絡(luò )安全領(lǐng)域取得豐碩成果。

我與AI解決方案提供商Fusemachines的技術(shù)副總裁Anish Joshi以及機器數據分析組織Sumo Logic的安全業(yè)務(wù)部門(mén)總經(jīng)理Greg Martin進(jìn)行了交談，以征詢(xún)他們的意見(jiàn)。采訪(fǎng)已被輕松編輯。

Scott Matteson：網(wǎng)絡(luò )安全的常見(jiàn)痛點(diǎn)是什么?

Anish Joshi：應用程序中的安全風(fēng)險在數量和復雜性上都在不斷增長(cháng)。

隨著(zhù)諸如Web，移動(dòng)甚至物聯(lián)網(wǎng)(loT)之類(lèi)的技術(shù)的出現，應用程序已遍及個(gè)人和專(zhuān)業(yè)生活，因為它們將技術(shù)用于各種不同的目的，從而有可能增加其破壞的范圍?？赡軟](méi)有組織沒(méi)有自己的應用程序。但是，由于缺乏熟練的技術(shù)人員之類(lèi)的問(wèn)題，容易受到威脅的應用程序數量猛增，而這些人員的專(zhuān)業(yè)知識是構建和保護此類(lèi)軟件所必需的。還存在通過(guò)外包降低應用程序開(kāi)發(fā)成本的趨勢，從而導致了低質(zhì)量軟件的創(chuàng )建。

一個(gè)更可怕的事實(shí)是，缺乏資源來(lái)解決此類(lèi)問(wèn)題的初創(chuàng )公司忽視了應用程序的安全性和隱私權，并且常常在殘酷的環(huán)境中被激烈的競爭所困擾。

歸結為沒(méi)有深入的網(wǎng)絡(luò )安全策略。隨著(zhù)技術(shù)滲透到業(yè)務(wù)的各個(gè)部分，網(wǎng)絡(luò )安全管理變得非常繁瑣而艱巨。許多公司都缺乏可靠且系統的基于風(fēng)險的安全策略。除了少數人擁有其應用程序，處理的數據和已實(shí)施的安全控制的最新積壓之外，許多公司還缺少應用程序安全程序。在沒(méi)有任何適當知識的情況下，保護這些應用程序似乎不太可能。

格雷格·馬丁(Greg Martin)：攻擊者已經(jīng)學(xué)會(huì )了在很大程度上自動(dòng)化攻擊，將攻擊頻率提高了一個(gè)數量級。因此，警報疲勞，錯誤肯定警報以及巨大的攻擊量以及可用于分析的原始數據量，使得做出相應的反應對于人類(lèi)來(lái)說(shuō)幾乎是不可能的任務(wù)。眾所周知，網(wǎng)絡(luò )安全方面的技能缺口/人才短缺使這一點(diǎn)更加明顯。

斯科特·馬特森(Scott Matteson)：最普遍的風(fēng)險是什么?

Anish Joshi：最普遍的風(fēng)險是通過(guò)網(wǎng)絡(luò )釣魚(yú)電子郵件竊取私人和機密信息。當公司員工打開(kāi)網(wǎng)絡(luò )釣魚(yú)電子郵件時(shí)，這可能導致惡意軟件滲透到公司的計算機系統中，最終導致其損失大量金錢(qián)，商業(yè)秘密以及名稱(chēng)和聲譽(yù)。

這不僅影響了整個(gè)公司，而且還影響了個(gè)人，因為他們的隱私受到侵犯，他們的信息可用于欺詐。一個(gè)例子是從他們的銀行帳戶(hù)中偷錢(qián)。

格雷格·馬丁(Greg Martin)：攻擊的復雜性每天都在進(jìn)步，無(wú)文件攻擊正以驚人的速度增長(cháng)，這越來(lái)越使攻擊者能夠“遠離陸地”生存，這意味著(zhù)他們正在利用PowerShell等現有腳本功能和現有網(wǎng)絡(luò )管理工具進(jìn)行傳播并在企業(yè)網(wǎng)絡(luò )內橫向移動(dòng)。由于這種細微的活動(dòng)，需要用于檢測和響應的其他安全工具，這些工具對于已經(jīng)工作過(guò)度，人手不足的SOC [安全運營(yíng)中心]團隊會(huì )產(chǎn)生更多警報和復雜性。

Scott Matteson： AI和ML如何幫助解決這些問(wèn)題?

阿尼什·喬希(Anish Joshi)：數據并不短缺或不可用，尤其是在這個(gè)數字時(shí)代。AI和ML可以通過(guò)處理和分析大量數據來(lái)發(fā)現異常趨勢，行為和模式，從而發(fā)現異?；蚱墼p，從而提供幫助。這是在金融界幫助阻止犯罪的重要工具。由于犯罪分子發(fā)明了繞過(guò)防火墻的新方法，因此傳統方法無(wú)法檢測到網(wǎng)絡(luò )安全威脅。因此，組織需要更好地防范黑客的此類(lèi)攻擊-他們唯一的方法就是使用足夠復雜的AI和ML技術(shù)，以解決隨著(zhù)時(shí)間而發(fā)展的問(wèn)題。

格雷格·馬丁(Greg Martin)：提供警報的自動(dòng)分析功能使分析師能夠消除噪音并分類(lèi)警報，這會(huì )帶來(lái)最大的組織危險。人們根本無(wú)法像機器學(xué)習驅動(dòng)的自動(dòng)化引擎那樣快速或有效地處理和分析數據，并且人類(lèi)無(wú)法像自動(dòng)化一樣迅速擴展規模來(lái)滿(mǎn)足需求高峰。自動(dòng)化可用于促進(jìn)ML驅動(dòng)的安全事件分類(lèi)和惡意行為檢測。

Scott Matteson： AI和ML如何改善網(wǎng)絡(luò )安全措施?

Anish Joshi：密碼保護，真實(shí)性檢測和多因素身份驗證是可以在網(wǎng)絡(luò )安全中實(shí)施的一些措施。機器學(xué)習算法可用于對密碼強度進(jìn)行分類(lèi)，并幫助建議更強更難猜的密碼。它們還允許實(shí)施更復雜的身份驗證機制，例如使用AI檢測某些物理特征的生物特征登錄。此類(lèi)技術(shù)允許應用多因素身份驗證(一種可靠的安全機制)，從而使系統更難以滲透。

格雷格·馬丁(Greg Martin)： AI / ML和自動(dòng)化極大地增強了端點(diǎn)保護，但是我們看到該技術(shù)最大的好處就是指導安全操作，使其一旦受到企業(yè)的威脅，該如何處理。網(wǎng)絡(luò )犯罪活動(dòng)的日益復雜和持續不斷，要求安全運營(yíng)團隊重新考慮他們如何使用人員，流程和技術(shù)。使用SOC(安全信息和事件管理)或日志管理工具關(guān)聯(lián)警報以進(jìn)行手動(dòng)調查的以人為主導的24/7分層分析器系統來(lái)運行SOC的過(guò)時(shí)實(shí)踐已被證明是無(wú)效的。需要重新定義SIEM / SOC平臺的概念，在該概念中，智能自動(dòng)化是減輕當今分析人員面臨的數據負擔的驅動(dòng)力。

Scott Matteson：減少威脅涉及什么?

Anish Joshi：減少網(wǎng)絡(luò )安全威脅的幾種方法是，通過(guò)關(guān)閉不必要的服務(wù)，使用特權級別最低的設置，運行常規的系統安全掃描以保持其最新?tīng)顟B(tài)并確保某些敏感數據永遠不會(huì )泄漏，來(lái)加強當前的安全系統。從系統泄漏。同樣重要的是，要使公司的員工意識到某些安全問(wèn)題，例如提防網(wǎng)絡(luò )釣魚(yú)郵件竊取私人信息，使用強度高且難以猜測的可變密碼，仔細檢查機密文件，信用卡等個(gè)人物品，徽章不會(huì )無(wú)人值守，以加密格式保存數據，并在發(fā)生緊急情況時(shí)購買(mǎi)網(wǎng)絡(luò )保險。

格雷格·馬丁(Greg Martin)：為安全操作提供自動(dòng)化工具，以在大海撈針中尋找針頭，并在最需要的地方使用有價(jià)值的人類(lèi)智慧。熟練的SOC分析員是我們應對威脅的最佳防御方法。但是，它們提供的大多數分析和處理都是平凡的，浪費了人力資本。理想情況下，人類(lèi)SOC分析人員應專(zhuān)注于更高級，更有價(jià)值的任務(wù)，例如威脅搜尋，威脅情報和歸因。通過(guò)采用自動(dòng)化，其想法是讓分析人員騰出時(shí)間來(lái)處理非常重要的任務(wù)，并讓自動(dòng)化完成繁重的工作。

斯科特·馬特森(Scott Matteson)：現實(shí)生活中有哪些例子?

格雷格·馬丁(Greg Martin)：一個(gè)很好的例子是網(wǎng)絡(luò )犯罪分子能夠隱藏由難以控制的警報和誤報導致的噪音，以便安全操作進(jìn)行分析。83%的組織承認他們甚至無(wú)法獲得每天收到的警報的一半(Fidelis的最新研究)。

我們已經(jīng)看到，參與者在Monero加密貨幣挖礦操作期間成功地躲藏在噪音中，攻擊者在最初感染新Linux主機后便建立了匿名收入流。感染后，演員使用Haiduc(一種SSH暴力破解工具)進(jìn)行自我復制并利用其他感染機會(huì )，而沒(méi)有被發(fā)現。只有通過(guò)自動(dòng)的跨源分析，您才能夠檢測出大量，低保真的事件，并相應地進(jìn)行分類(lèi)。

斯科特·馬特森(Scott Matteson)：壞蛋如何發(fā)展他們的策略以克服預防措施?

阿尼什·喬希(Anish Joshi)：由于A(yíng)I和ML不僅用于網(wǎng)絡(luò )安全，而且還用于網(wǎng)絡(luò )犯罪，所以壞人利用它們來(lái)更好地描述受害者并加速攻擊?？梢栽谄墼p檢測中使用的相同技術(shù)也可以用來(lái)克服現有的安全措施。

格雷格·馬丁(Greg Martin)：攻擊者自己將采用更大的自動(dòng)化形式來(lái)提高攻擊的頻率和復雜程度。這將是一場(chǎng)持續的比賽。

斯科特·馬特森(Scott Matteson)：該領(lǐng)域的發(fā)展方向如何?

艾妮絲·喬希(Anish Joshi)：隨著(zhù)技術(shù)的飛速發(fā)展，計算機系統將使世界變得更加互連，這為網(wǎng)絡(luò )犯罪的發(fā)生打開(kāi)了更多的可能性，因為幾乎所有事情都在黑客的控制范圍之內。盡管日趨成熟的技術(shù)將導致更強大，更安全的系統，但黑客也將有充分的機會(huì )利用其空前的力量來(lái)實(shí)現諸如欺詐之類(lèi)的錯誤目的。

下一代網(wǎng)絡(luò )安全產(chǎn)品越來(lái)越多地融合了AI和ML技術(shù)。在Fusemachines，我們正在幫助公司提升對機密數據和機密的保護。通過(guò)在網(wǎng)絡(luò )安全，網(wǎng)絡(luò )甚至物理信息的大型數據集上訓練AI軟件，網(wǎng)絡(luò )安全解決方案提供商旨在檢測并阻止異常行為，即使該行為未表現出已知的“簽名”或模式。

隨著(zhù)時(shí)間的流逝，公司會(huì )將ML納入每種類(lèi)型的網(wǎng)絡(luò )安全產(chǎn)品。為了到達那里，Fusemachines通過(guò)提供一組專(zhuān)門(mén)的顧問(wèn)，AI工程師和數據科學(xué)家來(lái)幫助公司。

格雷格·馬丁(Greg Martin)：將自動(dòng)化與一線(xiàn)分析師并列放置。人類(lèi)安全操作將不會(huì )被機器取代;相反，自動(dòng)化將提高分析人員的技能和效率，使他們能夠減輕數據處理和日常工作的負擔，并專(zhuān)注于機器無(wú)法執行的認知過(guò)程。

我還收到身份管理提供商Sailpoint首席產(chǎn)品官Paul Trulove的消息，他說(shuō)：

“讓我們退后一步，看看為什么人工智能(AI)和機器學(xué)習(ML)成為安全的寵兒。這不是因為機器人正在接管，而是因為人類(lèi)已經(jīng)接管了?；ヂ?lián)網(wǎng)大約在40億范圍內，約占世界人口的一半。在這里，人類(lèi)是存在風(fēng)險的，這意味著(zhù)網(wǎng)絡(luò )安全已成為我們應對業(yè)務(wù)，政府，甚至個(gè)人生活中的風(fēng)險的第一線(xiàn)。

“對組織而言，網(wǎng)絡(luò )安全威脅的數量正在增加，而現實(shí)是，如果沒(méi)有AI和ML之類(lèi)的技術(shù)的幫助，人們就無(wú)法克服這種風(fēng)險。AI和ML是力量的倍增器，它們使IT安全團隊能夠發(fā)現眾所周知的問(wèn)題通過(guò)快速合成大量數據以檢測真正的關(guān)注區域，可以更快地“威脅大海撈針”，這不僅適用于IT安全團隊，而且對于身份團隊也是如此，他們在身份安全期間面臨著(zhù)類(lèi)似的身份多樣性大數據問(wèn)題他們的數字化轉型，這意味著(zhù)必須在更多的應用程序(傳統和云)和數據(結構化和非結構化)中管理更多的身份(人類(lèi)和非人類(lèi))。