现在,人类能力和可用资源明显不足以抵御所有攻击,我们需要增加机器智能来保护网络。
在现在这个庞大而复杂的网络中,人类无法通过传统安全工具来检测和识别每个威胁。我们需要通过机器智能来提高人类的能力,人与机器相结合可用提高识别和阻止威胁的能力,在某些方面这类似于机械战警。
[[137062]]
现在企业使用的安全工具并没有什么用,这是因为两个令人惊讶的原因。第一个是攻击者在被发现之前可自由控制系统的时间量:在Premera和P.F.Chang攻击事件中为8个月,Nieman Marcus为6个月,Home Depot为5个月等。
第二个是响应情况。大家通常都会往后看,试图找出外部攻击者是如何入侵。虽然找出泄露事故并阻止泄露非常重要,但这种做法更像是寻找症状,而不是治疗疾病。
Premera、索尼、Target等公司花了几个月时间来检测其网络中的攻击者,并开始修复让他们成功入侵的漏洞,那么,他们怎么可以确保其他攻击者不会发现另一个漏洞呢?他们怎么知道其他攻击者现在没有在顺手窃取数据呢?他们当然不知道。
典型的响应
在过去,大多数公司仅有一种响应做法来应对不断增加的威胁,现在他们仍然在使用这种响应方法。他们重新加强系统、防火墙和IDS/IPS规则及阈值,并部署更严格的Web代理服务器和科学政策。但这样做会让事件响应小组淹没在警报中。
更严格的政策会让已经捉襟见肘的安全团队的工作变动更加困难。这会导致每天数以千计的误报,让安全团队根本不可能调查每个警报。从最近的攻击事故来看,海量的警报可以帮助恶意活动流入内部,即使它被“抓住了”,也不会有什么行动。
此外,加紧安全规则和程序只会浪费大家的时间。按照设计,更严格的政策会限制对数据的访问,并在很多情况下,员工需要这些数据来做好自己的工作。员工和部门会开始要求获取他们所需要的工具和信息,这会浪费他们宝贵的工作时间,还需要IT/安全团队来严格审查每个请求。
机械战警
现在,人类能力和可用资源明显不足以抵御所有攻击,我们需要增加机器智能来保护网络,这有点像电影《机械战警》中,让机器战警来保护街道,但在这种情况下,主要算法是统计算法。更具体而言,统计数据可以用来发现异常和潜在恶意活动。
根据SANS研究所分析师Dave Shackleford表示,“安全企业面临的最大挑战之一是缺乏可视性。”在其2014年分析和情报调查中,对于为什么难以检测问题,350名IT专业人士的主要回答是他们无法理解和确定“正常行为”基准。这是人们在复杂环境做不到的事情,而由于我们无法区分正常行为,我们无法看到异常行为。
而机器可以学习正常行为是什么样,并可以实时调整,在处理更多信息后,它们可以变得更加聪明。更重要的是,机器可以快速处理网络创建的海量信息量,并且它们可以接近实时做到这一点。有些网络每秒要处理TB级的数据,在另一方面,人类每秒只能处理每秒60比特。
暂且不论速度和处理能力的需要,传统监测的更大问题是规则没什么用。人类设置规则告诉机器如何行动和做什么,而与速度和处理能力无关。虽然基于规则的监测系统非常复杂,它们仍然是基于“如果是这样,那么那样做”的公式。真正可以提高安全的做法是让机器自己思考(+微信关注网络世界),以及提供更好的数据。
想象一下,在现实世界中,有人每天推着满是污垢的独轮车通过海关,海关人员很遵守其工作规则,每天都检查这些污垢,从来没有发现他们认为他们在找的东西。即使同一个人反复推着满是污垢的独轮车通过边界,没有人会想过看看独轮车。如果他们有这么想过,他们很快会发现他一直在偷手推车。
只是因为没人告诉海关人员寻找被盗的手推车,当然,这是事后诸葛亮。在数字世界中,我们不必依靠事后诸葛亮,因为我们现在有办法利用机器智能来发现异常情况。为了实现有效的安全保护,至少需要基本水平的智能化。如果机器可以自己学习和检测异常活动,它们会发现这个“手推车小偷”,即使你不知道你在找这个小偷。
异常检测是机器学习用于加强网络和应用程序安全性的第一个技术类别。这是高级安全分析形势,然后这种技术必须满足一些要求才可被认为是“高级”。它必须易于部署,可应对广泛的数据类型和来源,并对海量数据进行分析来产生可视性。
领先的分析师认为,机器学习将很快成为“必须具备的功能”来保护网络。在2014年Gartner名为《添加新的性能指标来管理机器学习功能的机器》报告中,分析师Will Cappelli直接指出,“在未来五年内,机器学习功能将逐渐开始普及,在这个过程中,这将从根本上改变系统性能和成本特性。”
虽然机器学习并不是可以解决所有安全问题的“万能解决方案”,但可以肯定的是,它可以提供更好的信息来帮助人们做出更好的决策。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/142498.html<
