北京2020年6月17日 /美通社/ -- 近期�,天地和興發(fā)布了一篇《請問人工智能,你對網(wǎng)絡(luò)安全造成了什么影響����?》的文章,以下是觀點全文:
當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域攻擊與防御的協(xié)同進(jìn)化如火如荼����。像人工智能(AI)和機器學(xué)習(xí)(ML)這種先進(jìn)的技術(shù)同時為惡意的攻擊者也帶來了攻擊技術(shù)演進(jìn)的機會。簡單來看�,對網(wǎng)絡(luò)安全的需求比以往任何時候都更加重要。AI/ML工具在幫助抗擊網(wǎng)絡(luò)犯罪方面可能走了很長一段路����,但是這些技術(shù)并非無所不能,也會被惡意黑客利用��。人工智能將致力于極大地提高網(wǎng)絡(luò)安全性��,但黑客也可將其用于網(wǎng)絡(luò)犯罪活動�,這是對網(wǎng)絡(luò)安全的真正威脅�����。AI可以有效地分析用戶行為����,推導(dǎo)模式并識別網(wǎng)絡(luò)中的各種異?���;虿徽G闆r。有了這些數(shù)據(jù)��,可以快速輕松地識別網(wǎng)絡(luò)漏洞�����。反之���,現(xiàn)在依賴于人類智能的職責(zé)將易于受到模仿合法的基于AI算法的惡意程序的攻擊。天地和興認(rèn)為��,一些企業(yè)正在熱衷于將其基于AI/ML的概念或產(chǎn)品推向市場�����。但AI/ML的局限性,導(dǎo)致他們可能會忽略算法正在產(chǎn)生錯誤或虛假的安全感��。
一�����、網(wǎng)絡(luò)安全行業(yè)AI應(yīng)用火熱
技術(shù)和業(yè)務(wù)領(lǐng)導(dǎo)者已將網(wǎng)絡(luò)安全行業(yè)作為當(dāng)今企業(yè)中人工智能(AI)和機器學(xué)習(xí)(ML)的頂級高級用例之一�。根據(jù)最新研究,在未來五年里����,網(wǎng)絡(luò)安全中的AI技術(shù)有望以每年23%的速度增長�。到2026年,網(wǎng)絡(luò)安全AI市場將從去年的88億美元增長到382億美元���。
2020年�����,網(wǎng)絡(luò)安全領(lǐng)域的AI將顯著增長�����。根據(jù)Capgemini去年的《用人工智能重塑網(wǎng)絡(luò)安全》報告研究結(jié)果顯示���,在2019年之前���,只有五分之一的網(wǎng)絡(luò)安全組織在其技術(shù)棧中使用了AI。但是Capgemini的研究人員表示�,AI采用率將直線上升,大約有63%的組織計劃在2020年底之前部署AI����。最具有潛力的用例是在運營技術(shù)(OT)和物聯(lián)網(wǎng)(IoT)。
二�、AI在網(wǎng)絡(luò)安全行業(yè)的優(yōu)勢
人工智能可能會是網(wǎng)絡(luò)安全的救星。根據(jù)Capgemini研究結(jié)果顯示��,80%的公司都依靠AI來幫助識別威脅和阻止攻擊��。這是一個很大的要求�����,因為實際上��,很少有非專家真正了解AI對安全的價值�����,或者該技術(shù)是否可以有效解決信息安全的許多潛在用例���。
發(fā)現(xiàn)新型惡意軟件并不是部署機器學(xué)習(xí)以提高網(wǎng)絡(luò)安全性的唯一方法:基于AI的網(wǎng)絡(luò)監(jiān)視工具還可以跟蹤用戶的日常行為�����,從而了解其典型行為�����。通過分析此信息��,AI可以檢測異常并做出相應(yīng)的反應(yīng)�����。
領(lǐng)先的網(wǎng)絡(luò)安全公司Darktrace使用機器學(xué)習(xí)來檢測威脅��,該公司聯(lián)合首席執(zhí)行官Poppy Gustafsson表示�,“人工智能使我們能夠以一種智能的方式做出反應(yīng)��,了解違規(guī)行為或行為改變的相關(guān)性和后果���,并實時制定相應(yīng)的反應(yīng)����。”
Darktrace的工業(yè)免疫系統(tǒng)是一項尖端創(chuàng)新�����,可為運營技術(shù)實施實時的“免疫系統(tǒng)”����,并實現(xiàn)傳統(tǒng)網(wǎng)絡(luò)防御方法的根本轉(zhuǎn)變。該系統(tǒng)以貝葉斯數(shù)學(xué)和無監(jiān)督機器學(xué)習(xí)為基礎(chǔ)���,對復(fù)雜的網(wǎng)絡(luò)環(huán)境進(jìn)行分析�,以了解每個網(wǎng)絡(luò)����,設(shè)備和用戶的“生活模式”。該技術(shù)不依賴于過去的攻擊知識��,而是像人類免疫系統(tǒng)一樣運作�����,并且可以通過檢測預(yù)期行為的細(xì)微變化來發(fā)現(xiàn)以前未知的威脅。
網(wǎng)絡(luò)安全主管越來越相信AI對于增加響應(yīng)時間和降低預(yù)防漏洞的成本至關(guān)重要��。根據(jù)Capgemini的《用人工智能重塑網(wǎng)絡(luò)安全》研究�����,四分之三的高管表示�����,網(wǎng)絡(luò)安全領(lǐng)域的AI可以加快對漏洞的響應(yīng)速度��,無論是在檢測還是補救方面����。約有64%的人表示���,這也降低了檢測和響應(yīng)的成本�����。
盡管人們對過度依賴AI存有疑慮��,但人們似乎正在為一種中庸之道建立共識��,AI并不是魔杖����,而是一種有助于增強SOC和整個安全組織的人類智能(HI)的有用方法。根據(jù)White Hat的《人工智能與人類要素安全情感研究》�����,大約70%的安全專業(yè)人員同意AI通過消除多達(dá)55%的手動任務(wù)來提高團(tuán)隊效率���。這有助于他們專注于更重要的任務(wù)并減輕壓力水平��。
三�、AI在網(wǎng)絡(luò)安全行業(yè)的局限
經(jīng)驗豐富的網(wǎng)絡(luò)安全專家們現(xiàn)在正在研究的問題是:“人工智能到底能在多大程度上幫助改善安全狀況和安全運營�����?”AI在網(wǎng)絡(luò)安全中的成熟度到底如何��?它能取代安全團(tuán)隊嗎�?網(wǎng)絡(luò)安全行業(yè)在2020年的發(fā)展很大一部分將是如何有效平衡人工智能(AI)和人類智能(HI)。
- 網(wǎng)絡(luò)安全是否會信任AI��?
盡管AI驅(qū)動的網(wǎng)絡(luò)安全不斷向前發(fā)展�����,許多安全專業(yè)人員仍認(rèn)為,人類智能(HI)仍將根據(jù)具體情況提供最佳結(jié)果��。白帽安全公司(White Hat Security)在RSA大會上進(jìn)行的一項最新《人工智能與人類要素安全情感研究》表明�,60%的安全專業(yè)人員仍然對由人類驗證的網(wǎng)絡(luò)威脅結(jié)果比人工智能生成的結(jié)果更有信心。大約三分之一的受訪者表示���,直覺是推動人類分析的最重要的人為因素,21%的人認(rèn)為創(chuàng)造力是人的優(yōu)勢���,20%的人認(rèn)為以前的經(jīng)驗和參考框架是使人們對安全操作流程至關(guān)重要的因素�。
- 網(wǎng)絡(luò)安全AI真的準(zhǔn)備就緒��?
Osterman Research的《網(wǎng)絡(luò)安全中人工智能現(xiàn)狀》研究表明�����,在部署的早期階段����,部分問題是人們強烈認(rèn)為AI尚未準(zhǔn)備就緒。一些常見的投訴包括結(jié)果不準(zhǔn)確的問題����、在端點上放置某些類型的AI平臺的性能權(quán)衡�����、使用困難以及對誤報的擔(dān)憂��。
網(wǎng)絡(luò)安全專家認(rèn)為����,他們對人工智能的過度依賴也令人擔(dān)憂,因為他們認(rèn)為他們所做的工作過于復(fù)雜�����,無法被機器復(fù)制���。去年P(guān)onemon的《自動化時代IT安全功能的人員配置》報告調(diào)查結(jié)果顯示���,超過一半的安全專家表示,他們將無法訓(xùn)練AI來完成其團(tuán)隊執(zhí)行的任務(wù)��,并且他們更有資格實時捕獲威脅����。幾乎一半的人還報告說����,人為干預(yù)是網(wǎng)絡(luò)保護(hù)的必要條件��。
但是,盡管AI和ML確實為網(wǎng)絡(luò)安全提供了好處�����,但對于組織而言����,重要的是要認(rèn)識到這些工具并不能代替人類安全人員�����。因此����,關(guān)于AI將解決網(wǎng)絡(luò)技能危機的任何想法都具有廣泛意義�。實際上�,這些解決方案通常需要安全團(tuán)隊花費更多的時間,這一事實經(jīng)常被忽略���。
例如���,基于機器學(xué)習(xí)的安全性工具可能會被錯誤地編程,從而導(dǎo)致算法遺漏意外甚至明顯的事情�����。如果該工具由于沒有經(jīng)過編碼以考慮某些參數(shù)而錯過了特定類型的網(wǎng)絡(luò)攻擊�����,那將會導(dǎo)致問題���。確實��,AI和ML可能會產(chǎn)生其他問題��,因為盡管這些工具有助于防御黑客����,但網(wǎng)絡(luò)犯罪分子自己很有可能會使用相同的技術(shù)來使攻擊更加有效。
例如��,可以使用ML自動發(fā)送網(wǎng)絡(luò)釣魚電子郵件��,并學(xué)習(xí)在活動中使用哪種語言����,生成點擊的原因以及應(yīng)如何針對不同目標(biāo)進(jìn)行攻擊。
例如�����,以異常檢測為例��。對于安全運營中心分析人員而言�����,能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的任何“壞東西”確實很有價值�����,并且機器學(xué)習(xí)可以很好地解決此問題�。但是,找到比以前更多“壞東西”的算法可能并不像聽起來那樣好��。所有ML算法都有一個誤報率(當(dāng)事件是良性事件時將其標(biāo)識為“不良”)�����,其值是各種所需行為之間權(quán)衡的一部分���。因此���,仍然需要人工來分類這些結(jié)果,而且算法發(fā)現(xiàn)的“錯誤”越多����,團(tuán)隊成員需要評估的事件就越多。
這并不是說這對于熟悉ML的人來說是一個特別令人驚訝的結(jié)果�,只是對于那些希望采用這些解決方案的團(tuán)隊來說,這并不一定是常識�����,這可能導(dǎo)致人們對ML可以為他們節(jié)省多少時間的期望過高�。
盡管上面的示例是關(guān)于如何將ML算法直接用于完成安全團(tuán)隊的某些工作的示例,但是算法也可以用于幫助用戶避免犯可能帶來風(fēng)險的錯誤�,從而間接地為他們提供幫助。這種方法之所以令人興奮,是因為它開始著眼于減少進(jìn)入渠道的可能事件的數(shù)量�����,而不是試圖在事件最終導(dǎo)致安全事件時識別并減輕它們�����。不僅僅是解決最明顯的問題�����,從長遠(yuǎn)來看�����,這些問題可能會帶來預(yù)期的結(jié)果�。
考慮ML時,另一個容易忽略的問題是數(shù)據(jù)問題�。任何ML算法只有在有足夠的數(shù)據(jù)可供學(xué)習(xí)時才能工作。學(xué)習(xí)需要時間�。試想����,在識別貓之前,您需要顯示多少張互聯(lián)網(wǎng)貓圖片?模型開始運行之前�����,算法需要運行多長時間���?學(xué)習(xí)過程所花費的時間可能比預(yù)期的長得多���,因此安全團(tuán)隊需要考慮這一點。此外����,對于某些用例而言最佳的標(biāo)記數(shù)據(jù)在安全性方面供不應(yīng)求。這是另一個需要“人員參與”來對安全事件進(jìn)行分類并協(xié)助算法訓(xùn)練的領(lǐng)域�。
參考資源
【1】 https://www.darkreading.com/threat-intelligence/the-problem-with-artificial-intelligence-in-security/a/d-id/1337854
【2】 https://www.cybersecurityintelligence.com/blog/the-impact-of-artificial-intelligence-on-cyber-security-4946.html
【3】 https://www.darkreading.com/what-cybersecurity-pros-really-think-about-artificial-intelligence/d/d-id/1337308?image_number=7
