在機器學習的支持下,人工智慧網路安全將成為不久的將來的強大工具。與其他行業一樣,人際互動在安全領域一直至關重要且不可取代。雖然網路安全目前嚴重依賴人工輸入,但我們逐漸看到科技在特定任務上變得比我們更好。
每一次科技進步都讓我們更接近更有效地補充人類的角色。在這些發展中,有幾個研究領域是核心:
- 人工智慧(AI)旨在賦予電腦人類思維的全部反應能力。這是許多其他學科都屬於的整體學科,包括機器學習和深度學習。
- 機器學習(ML)利用現有的行為模式,根據過去的數據和結論形成決策。一些變化仍然需要人工幹預。機器學習可能是迄今為止最相關的人工智慧網路安全學科。
- 深度學習 (DL) 的工作原理與機器學習類似,它根據過去的模式做出決策,但會自行進行調整。網路安全中的深度學習目前屬於機器學習的範疇,因此我們將主要關注機器學習。
人工智慧和機器學習在網路安全中扮演什麼角色?
人工智慧和網路安全被吹捧為革命性的,而且比我們想像的要近得多。然而,這只是部分事實,我們必須保留態度。現實情況是,未來我們可能面臨相對漸進的改善。從長遠來看,與完全自主的未來相比,這似乎是漸進的,但實際上仍然超越了我們過去的能力。
當我們探索機器學習和人工智慧對安全性可能產生的影響時,明確網路安全當前的痛點非常重要。我們早已接受的許多正常過程和方面都可以在人工智慧技術的保護下得到處理。
配置中的人為錯誤
人為錯誤是網路安全漏洞的重要組成部分。例如,即使有大型 IT 團隊參與設置,正確的系統配置也可能極難管理。在不斷創新的過程中,電腦安全變得比以往更加分層。回應工具可以幫助團隊發現並緩解網路系統更換、修改和更新時出現的問題。
想想如何將雲端運算等較新的網路基礎架構堆疊在較舊的本地框架之上。在企業系統中,IT 團隊需要確保相容性以保護這些系統的安全。評估配置安全性的手動流程會使團隊感到疲憊,因為他們需要在無休止的更新和正常的日常支援任務之間取得平衡。透過智慧、自適應的自動化,團隊可以及時獲得有關新發現的問題的建議。他們可以獲得有關繼續操作選項的建議,甚至可以建立系統來根據需要自動調整設定。
重複活動帶來的人類效率
人類效率是網路安全產業的另一個痛點。沒有任何手動流程能夠每次都完美地重複,尤其是在像我們這樣的動態環境中。對組織的許多端點機器進行單獨設定是最耗時的任務之一。即使在初始設定之後,IT 團隊仍會發現他們稍後會重新訪問同一台機器,以糾正無法在遠端更新中修補的錯誤配置或過時的設定。
此外,當員工負責應對威脅時,威脅的範圍可能會迅速改變。當人類的注意力可能因意外挑戰而減慢時,基於人工智慧和機器學習的系統可以以最小的延遲採取行動。
威脅警報疲勞
如果處理不當,威脅警報疲勞會為組織帶來另一個弱點。隨著上述安全層變得更加複雜和龐大,攻擊面也增加。許多安全系統都經過調整,可以透過一系列純粹反射性的警報來應對許多已知問題。因此,這些單獨的提示需要人類團隊來分析潛在的決策並採取行動。
大量警報的湧入使得這一層級的決策過程變得特別繁重。最終,決策疲勞成為網路安全人員的日常經驗。針對這些已識別的威脅和漏洞採取主動行動是理想的,但許多團隊缺乏時間和人員來涵蓋所有基礎。
有時團隊必須決定先解決最大的問題,而將次要目標放在一邊。在網路安全工作中使用人工智慧可以讓 IT 團隊以有效、實用的方式管理更多此類威脅。如果透過自動標記進行分批處理,應對這些威脅就會變得容易得多。除此之外,一些問題實際上可以透過機器學習演算法本身來解決。
威脅回應時間
威脅回應時間絕對是網路安全團隊效力的最重要指標之一。眾所周知,從利用到部署,惡意攻擊的進展非常迅速。過去的威脅行為者在發動攻擊之前,有時必須花數週時間仔細檢查網路權限並橫向解除安全措施。
不幸的是,網路防禦領域的專家並不是唯一從技術創新中受益的人。自此以後,自動化在網路攻擊中變得越來越普遍。最近的 LockBit 勒索軟體攻擊等威脅大大加快了攻擊時間。目前,有些攻擊甚至最快可以在半小時內完成。
即使對於已知的攻擊類型,人類的反應也可能落後於最初的攻擊。因此,許多團隊更致力於對成功攻擊的反應,而不是預防攻擊企圖。另一方面,未被發現的攻擊本身就是一種危險。
機器學習輔助安全可以從攻擊中提取數據,並立即進行分組並準備進行分析。它可以為網路安全團隊提供簡化的報告,使處理和決策更加清晰。除了報告之外,這種類型的安全還可以提供建議措施,以限制進一步的損害並防止未來的攻擊。
新威脅識別與預測
新的威脅識別和預測是影響網路攻擊回應時間的另一個因素。如前所述,現有威脅已經出現延遲時間。未知的攻擊類型、行為和工具可能會進一步導致團隊反應遲緩。更糟的是,資料竊取等更安靜的威脅有時可能完全不被發現。根據 ThoughtLab 的研究,平均需要大約四個月的時間才能檢測到資料洩露,並且還需要兩個月的時間來減輕其影響。
不斷的攻擊演進導致的零日漏洞始終是網路防禦工作中的一個潛在問題。但好消息是,網路攻擊通常不是從零開始的。由於機器學習通常建立在過去攻擊的行為、框架和原始碼之上,因此它有一條預先存在的工作路徑。
基於機器學習的程式設計可以幫助突出新威脅和先前發現的威脅之間的共同點,以幫助發現攻擊。這是人類無法及時有效地做到的事情,進一步凸顯了自適應安全模型的必要性。從這個角度來看,機器學習可以讓團隊更容易預測新的威脅,並減少因威脅意識增強而導致的延遲時間。
人員配備能力
人員配備能力是困擾全球許多 IT 和網路安全團隊的持續問題之一。根據組織的需求,合格專業人員的數量可能會受到限制。
然而,更常見的情況是,僱用人力幫助也會花費組織大量的預算。支持人類員工不僅需要補償日常勞動,還需要為他們持續的教育和認證需求提供協助。作為網路安全專業人士,保持與時俱進是一項艱鉅的任務,尤其是在我們迄今為止在整個討論中不斷提到的持續創新方面。
基於人工智慧的安全工具可以發揮主導作用,並且只需要較少的人員來配備和支援它。雖然這些員工需要跟上人工智慧和機器學習的前沿領域,但隨著人員需求的減少,成本和時間也會節省。
適應性
適應性並不像其他提到的要點那樣引人注目,但卻可以大幅改變組織的安全能力。人類團隊可能缺乏根據您的專業要求量身定制技能的能力。
如果員工沒有接受過特定方法、工具和系統的培訓,您可能會發現團隊的效率因此受到阻礙。即使是像採用新的安全政策這樣看似簡單的需求,在以人為基礎的團隊中也進展緩慢。這只是人類的本性,因為我們無法立即學習新的做事方法,而且必須有時間來學習。有了正確的資料集,經過適當訓練的演算法就可以轉變為專為您量身定制的解決方案。
人工智慧網路安全在實踐中如何發揮作用
網路安全中的人工智慧被認為是機器學習和深度學習網路安全等學科的超集,但它確實發揮著自己的作用。
人工智慧的核心在於“成功”,而“準確性”的重要性較低。在精心解決問題時做出自然的反應是最終目標。在真正執行人工智慧時,會做出實際的獨立決策。它的程式設計旨在尋找某種情況下的理想解決方案,而不僅僅是資料集的硬邏輯結論。
為了進一步解釋,最好了解現代人工智慧及其底層學科目前是如何運作的。自主系統不屬於廣泛動員的系統範圍,尤其是在網路安全領域。這些自我導向系統是許多人通常與人工智慧聯繫在一起的。然而,協助或增強我們的保護服務的人工智慧系統是實用且可用的。
人工智慧在網路安全中的理想作用是解釋機器學習演算法建立的模式。當然,現代人工智慧還無法以人類的能力來解釋結果。人們正在努力開發這一領域以追求類似人類的框架,但真正的人工智慧是一個遙遠的目標,它需要機器在不同情況下採用抽象概念來重新建構它們。換句話說,這種創造力和批判性思考水平並不像人工智慧傳言所希望你相信的那樣接近。
機器學習在網路安全的實際應用
機器學習安全解決方案與人們對人工智慧家族的設想不同。也就是說,它們無疑是我們迄今為止最強大的網路安全人工智慧工具。在該技術範圍內,資料模式用於揭示事件發生的可能性(或不發生的可能性)。
卡巴斯基全球研究與分析團隊 (GReAT)是機器學習在網路安全領域應用的絕佳案例,該團隊使用機器學習技術分析來自卡巴斯基安全網路 (KSN) 的全球網路威脅資料。這發現了數以千計的新威脅和進階威脅,以至於 GReAT 在 2024 年上半年的高階持續性威脅偵測率增加了 25%。
在某些方面,ML 與真正的 AI 有些相反。機器學習特別注重“準確性”,但並不注重“成功”。這意味著機器學習會從以任務為中心的資料集中進行學習。最後,找到給定任務的最佳效能。它將根據給定的數據尋求唯一可能的解決方案,即使它不是理想的解決方案。使用機器學習,無法對數據進行真正的解釋,這意味著這項責任仍然落在人類任務組身上。
機器學習擅長資料模式辨識和適應等繁瑣的任務。由於任務疲勞和對單調的耐受力普遍較低,人類並不適合執行此類任務。因此,雖然數據分析的解釋仍然掌握在人類手中,但機器學習可以幫助以可讀、易於解剖的形式呈現數據。
機器學習網路安全有幾種不同的形式,每種形式都有其獨特的優點:
資料分類
資料分類是透過使用預設規則為資料點分配類別來進行的。標記這些點是建立攻擊、漏洞和主動安全其他方面的概況的重要部分。這對於機器學習和網路安全的交叉至關重要。
資料聚類
資料聚類採用預先設定的規則對異常值進行分類,將它們放入具有共同特徵或奇異特徵的「聚類」資料集合中。例如,這可用於分析系統尚未訓練的攻擊資料。這些集群可以幫助確定攻擊是如何發生的,以及攻擊被利用和暴露了什麼。
建議的行動方案
建議的行動方案可提升機器學習安全系統的主動措施。這些建議是基於行為模式和先前的決定,提供自然建議的行動方案。這裡需要重申的是,這不是透過真正的自主人工智慧做出的智慧決策。相反,它是一個自適應的結論框架,可以透過預先存在的數據點來得出邏輯關係。這種工具可以大大幫助應對威脅和降低風險。
可能性綜合
可能性合成允許根據先前的數據和新的不熟悉的數據集的經驗教訓來合成全新的可能性。這與建議略有不同,因為它更側重於某個動作或系統狀態與過去類似情況相符的可能性。例如,這種綜合技術可用於預先探測組織系統中的薄弱環節。
預報預報
預測預報是 ML 元件流程中最具前瞻性的。這項好處是透過評估現有資料集來預測潛在結果來實現的。這主要用於建立威脅模型、概述詐欺預防、資料外洩保護,並且是許多預測端點解決方案的主要內容。
機器學習在網路安全的例子
為了進一步解釋,以下是一些強調機器學習在網路安全方面價值的例子:
資料隱私分類與合規性
在過去幾年中,保護您的組織免受隱私法的侵犯可能已成為重中之重。在《一般資料保護規範》(GDPR)的引領下,其他法律措施也相繼出現,例如《加州消費者保護法》(CCPA) 。
必須根據這些法案管理您客戶和用戶的收集數據,這通常意味著這些數據必須能夠在請求時被刪除。不遵守這些法規的後果包括巨額罰款以及組織聲譽的損害。
資料分類可以幫助您將可識別的使用者資料與匿名或無識別的資料區分開。這可以節省您嘗試解析大量新舊資料的手動勞動,尤其是在大型或較舊的組織中。
使用者行為安全設定檔
透過根據使用者行為對網路員工形成自訂設定文件,可以自訂安全性以適合您的組織。然後,該模型可以根據使用者行為的異常值來確定未經授權的使用者可能會是什麼樣子。諸如鍵盤敲擊之類的細微特徵可以形成預測威脅模型。透過概述潛在的未經授權的使用者行為可能造成的結果,機器學習安全可以提出建議的補救措施以減少暴露的攻擊面。
系統效能安全概況
與使用者行為設定檔概念類似,可以在電腦健康時編譯整個電腦效能的自訂診斷設定檔。監控處理器和記憶體的使用情況以及高網路資料使用量等特徵可以指示惡意活動。也就是說,一些用戶可能會透過視訊會議或頻繁下載大型媒體檔案定期使用大量資料。透過了解系統基線效能通常是什麼樣的,它可以確定它不應該是什麼樣子,類似於我們在先前的 ML 範例中提到的使用者行為規則。
基於行為的機器人攔截
機器人活動可能會消耗網站的入站頻寬。對於那些依賴網路商業流量的人來說尤其如此,例如擁有專門電子商務店面而沒有實體店的人。真實用戶可能會有緩慢的體驗,導致流量和商機的損失。
透過對此活動進行分類,機器學習安全工具可以阻止機器人的網絡,無論使用何種工具(如虛擬專用網路)都可以將其匿名化。惡意方的行為資料點可以幫助機器學習安全工具圍繞此行為形成預測模型,並預先阻止顯示相同活動的新網址。
人工智慧和機器學習在網路安全領域的未來
儘管人們對這種安全形式的未來充滿熱情,但仍存在一些需要注意的限制。
ML 需要資料集,但可能與資料隱私法相衝突。訓練軟體系統需要大量資料點來建立準確的模型,這與「被遺忘權」不太相符。一些數據的人類識別可能會造成違規,因此需要考慮潛在的解決方案。可能的解決方法包括讓系統在軟體經過訓練後幾乎無法存取原始資料。匿名化數據點也在考慮之中,但這需要進一步檢查以避免扭曲程序邏輯。
該行業需要更多能夠從事此類程式設計工作的人工智慧和機器學習網路安全專家。能夠根據需要維護和調整機器學習網路安全的人員將極大地受益。然而,全球合格且經過訓練的人才數量卻小於全球對能夠提供這些解決方案的人員的龐大需求。
人類團隊仍然至關重要。最後,批判性思考和創造力對於決策至關重要。如同前面提到的,ML 還沒有準備好或沒有能力做到這兩點,AI 也沒有。要繼續這個主題,您必須使用這些解決方案來擴充您現有的團隊。
擁抱 AI/ML 網路安全未來的 3 個技巧
在網路安全人工智慧的道路上,您可以採取一些步驟來讓自己更接近未來:
投資於面向未來的技術。隨著威脅變得越來越複雜,因技術過時或使用多餘的體力勞動而受到利用的成本將會越來越大。保持領先地位可以幫助減輕一些風險。透過使用卡巴斯基整合端點安全等前瞻性解決方案,您將能夠更好地適應。
用人工智慧和機器學習來補充你的團隊,而不是取代它們。漏洞仍然存在,因為目前市場上沒有任何系統是萬無一失的。由於即使這些自適應系統也可能被巧妙的攻擊方法欺騙,因此請確保您的 IT 團隊學會使用和支援這種基礎架構。
定期更新您的資料政策以符合不斷發展的法律法規。資料隱私已成為全球各管理機構關注的焦點。因此,在可預見的未來,它仍將是大多數企業和組織最關注的問題之一。確保您遵守最新的政策。
Kaspersky Endpoint Security 獲得三項 2021 年 AV-TEST 的企業終端安全防護產品奬項,包括最佳效能、保護和用途。在所有測試中, Kaspersky Endpoint Security 都顯示出出色的效能、保護和用途。
人工智慧和機器學習常見問題解答
人工智慧如何應用於網路安全?
網路安全中的人工智慧可用於即時監控、偵測和應對各種網路威脅,最大限度地減少威脅可能造成的影響規模。回應過程可以自動化,並基於人工智慧引擎產生的洞察,這意味著威脅可以在任何時間和地點被阻止,而無需太多甚至任何人工操作或乾預。
人工智慧在網路安全應用上有哪些優勢?
網路安全領域的人工智慧能夠以比最好的人類安全團隊更快的速度和更大的規模來偵測和處理威脅。這要歸功於人工智慧能夠快速分析大量資料集、偵測資料中的異常模式和趨勢,並自動執行一些耗時且容易出現人為錯誤的重複過程。這不僅提高了安全強度,而且還為人類安全團隊騰出了寶貴的時間,讓他們能夠將技能和專業知識重新集中在最需要的領域。
人工智慧在網路安全方面有哪些風險?
人工智慧仍然是一項相對較新的技術,這意味著人類的監督仍然很重要,以便做出正確的安全決策。人工智慧還不夠可靠,無法完全獨立運作。人工智慧可能還不太擅長偵測新的和正在出現的威脅,因為它的情報是基於涉及過去的活動和威脅的歷史數據。
同樣重要的是要記住,網路犯罪分子可以使用人工智慧,就像安全團隊可以使用人工智慧一樣。不法分子越來越多地使用人工智慧來創建複雜的網路釣魚電子郵件,甚至生成惡意軟體程式碼行。這使得人工智慧和機器學習在網路安全防禦中的支援變得更加重要。
人工智慧會取代網路安全領域的工作嗎?
人工智慧不會完全取代網路安全領域的工作,但它正在逐漸重新定義人類安全專家的工作內容。安全團隊以前必須處理的許多重複和平凡的任務現在可以由人工智慧和自動化技術來覆蓋,這意味著他們可以從事其他增值領域。人類還需要對人工智慧工具進行管理和監督,確保它們正常運作、不受任何偏見並提供正確的見解和反應。
相關文章:
