AI和ML在网络安全中的用例

随着网络攻击在性质和目标上变得越来越多样化，网络安全人员是否有正确的可见性来确定如何解决漏洞是至关重要的，而人工智能将可以帮助提出人类无法单独解决的问题。

“网络安全就像是一盘国际象棋，”Palo Alto网络公司的EMEA首席安全官Greg Day表示。“对手试图击败受害者，而受害者则旨在阻止对手的攻击。数据是王者，也是最终的奖品。”

“1996年，人工智能国际象棋系统“深蓝”在第一场比赛中击败了世界冠军Garry Kasparov。很明显，人工智能可以通过编程的方式在规范之外进行更广泛、更快和更远的思考，而现在它在网络安全领域的许多应用也是如此。”

有鉴于此，我们探索了人工智能在当今网络安全中的特殊使用案例。

[[349187]]

与员工一起工作

Day接着详述了人工智能是如何与网络安全人员合作，以确保组织安全的。

“我们都知道市场上没有足够的网络安全人员，所以人工智能可以帮助填补这一空白，”他表示。机器学习是人工智能的一种形式，它可以读取SoC分析师的输入，并将其转置到一个不断扩大的数据库当中。

“下一次，当SoC分析员输入类似的症状时，他们就会根据统计分析和神经网络的使用，给出以前类似的案例和解决方案，从而减少人力投入。

“如果没有以前的案例，人工智能也可以分析事件的特征，并根据过去的经验，建议哪个SoC工程师是解决问题的最强人选。

“所有这些实际上都是一个机器人，一个将人类知识与数字学习相结合的自动化过程，以提供一种更有效的混合解决方案。”

对抗机器人

Netacea数据科学主管Mark Greenwood研究了机器人在网络安全中的好处，并强调了企业必须能够区分好的和坏的。

“如今，机器人占据了互联网流量的绝大部分，”Greenwood解释说。“而且大多数都是危险的。从使用窃取的凭证进行账户收购，到创建虚假账户和欺诈，它们构成了真正的网络安全威胁。

“但是企业无法仅仅依靠人类的反应来对抗自动化的威胁。如果他们真的想解决“机器人问题”，他们就必须使用人工智能和机器学习。为什么?因为要真正区分好的机器人(比如搜索引擎抓取器)、坏的机器人和人类，企业就必须利用人工智能和机器学习来全面了解自己的网站流量。

“摄取和分析大量数据是必要的，而人工智能能够使这成为可能，而采用机器学习方法将使网络安全团队能够调整他们的技术，以适应不断变化的环境。”

“通过观察用户的行为模式，企业将得到以下问题的答案：‘普通用户的旅程是什么样的’和‘不寻常的冒险旅程是什么样的’。从这里，我们可以了解他们网站流量的意图，让他们领先于那些坏的机器人。”

端点保护

SolarWinds负责安全架构的副总裁Tim Brown在考虑可以从该技术获益的网络安全的某些方面时表示，人工智能也可以在保护端点方面发挥作用。随着用于工作的远程设备数量的增加，这一点将变得越来越重要。

“通过遵循最佳实践建议并及时更新补丁和其他更新，一个组织可以及时的做出反应，抵御威胁，”Brown说。“而且人工智能也可能会给IT和安全专业人士带来一个对抗网络犯罪的优势。”

反病毒(AV)与人工智能驱动的端点保护就是这样的一个例子;AV解决方案通常是基于签名来工作的，因此有必要及时跟上签名定义，以保持对最新威胁的保护。这的确会是一个问题，如果病毒定义落后了，要么是因为更新失败，要么是因为病毒供应商缺乏知识。如果一个新的，以前没有出现过的勒索软件被用来攻击一家企业，签名保护将无法捕捉到它。

人工智能驱动的端点保护采取了不同的策略，通过反复的培训过程为端点建立了行为基线。如果发生异常情况，人工智能就可以标记它并采取行动–无论是向技术人员发送通知，还是在勒索软件攻击后恢复到安全状态。这也提供了针对威胁的主动预防性保护，而不是等待签名的更新。

“人工智能模式已经被证明了会比传统的AV更为有效。对于许多由MSP服务的中小型公司来说，人工智能驱动的端点保护的成本通常只适用于少量设备，因此没有引起太多关注。另一个需要考虑的事情是感染后的清理成本–如果人工智能驱动的解决方案有助于避免潜在的感染，那么它也可以通过避免清理成本来为自己买单，从而创造更高的客户满意度。”

机器学习和短信诈骗

随着越来越多的员工开始在家工作，并且可能更频繁地使用个人设备来完成任务并与同事合作，警惕短信中可能存在的欺诈行为是很重要的。

“由于恶意行为者的攻击载体的多样化，包括使用Covid-19来作为短信钓鱼诈骗的诱饵，组织正面临着加强防御的巨大压力，”MobileIron负责产品管理的高级副总裁Brian Foster表示。

“为了保护设备和数据免受这些高级攻击，机器学习在移动威胁防御(MTD)和其他形式的托管威胁检测方面的使用将继续发展成为一种高效的安全方法。”

“可以对机器学习模型进行培训，以立即识别和防范潜在的有害活动，包括其他解决方案无法及时检测到的未知威胁和零日威胁。同样重要的是，当通过统一端点管理(UEM)平台部署基于机器学习的MTD时，它还可以增强UEM所提供的基础安全性，以支持分层的企业移动安全策略。

“机器学习是一项强大而又不引人注目的技术，它可以随着时间的推移不断监控应用程序和用户行为，从而识别出正常和异常行为之间的区别。”有针对性的攻击通常会在设备上产生一个非常微妙的变化，而人类的分析人员是看不到这些变化的。有时，只有通过机器学习将数千个设备参数关联起来，才能对其进行检测。”

要克服的障碍

这些用例和更多的例子证明了人工智能和网络安全人员有效结合的可行性。然而，Panaseer的产品副总裁Mike MacIntyre认为，要想真正的实现这一目标，该领域仍有许多障碍需要克服。

“人工智能当然有很多前景，但作为一个行业，我们必须清楚，它目前还不是缓解所有网络安全挑战和解决技能短缺的灵丹妙药，”MacIntyre表示。这是因为人工智能目前只是一个用于机器学习技术小子集的术语。很多关于人工智能的炒作都是来自于企业安全产品是如何采用这个术语的，以及对人工智能所构成的误解(有意或无意)。

“嵌入在许多现代安全产品中的算法最多只能被称为狭义或弱人工智能;他们在单一、狭窄的领域中执行着高度专业化的任务，并接受过针对单一领域的大量数据的训练。这与一般或强人工智能相去甚远，而后者是一种可以执行任何一般性任务并跨多个领域回答问题的系统。谁也不知道这样一个系统还有多远(从下一个十年到永远都不会有争议)，但是没有一个CISO应该把这样一个工具纳入到他们的3-5年战略之中。

“另一个阻碍人工智能有效性的关键障碍是数据完整性的问题。如果你不能访问相关的数据，或者不愿意在网络上安装一些东西，那么部署一个人工智能产品就是没有意义的。安全的未来一定是数据驱动的，但人工智能产品想要实现它们的营销宣传承诺，还有很长的一段路要走。”