数据和机器智能增强安全团队的实力虽然组织已经大力投资安全技术,但其仍然要继续应付各种破坏安全的行为:对手快速转变战术,始终保持技术领先。检测网络攻击涉及庞大数据、复杂性和高难度等问题,单靠人工可能很快就不堪重负。
人们目前不得不面临一项挑战,即高效分析从整个安全技术栈流入安全运营中心 (SOC) 的数据。这还不包括网络设备的信息反馈、应用数据以及更广泛技术堆栈的其他输入,而这些往往是高级攻击者寻找新载体或利用新恶意软件的目标。随着企业越来越多地向防火墙之外的区域拓展,安全分析师必须保护的攻击面也不断扩大。
同时,网络犯罪导致的成本持续攀升。2015 年,网络犯罪成本为3万亿美元,预计到 2025 年上升至 10.5 万亿美
元。1、保险公司美国国际集团(AIG)指出,自2018年以来,仅赎金索赔一项成本就增长了150%。2、是时候向AI寻求支援了。网络人工智能可以成为一种力量的
倍增器,使组织不仅能够比攻击者更快做出反应,而且能够预判攻击行为并提前作出反应。网络人工智能技术和工具正处于早期应用阶段,预计全球市场将在 2021 年到 2025
年间增长 190 亿美元。3、人工智能具备自适应学习和检测新模式的能力,能加快检测、控制和响应速度,减轻安全运营中心分析师的负担,提升分析师的主动性。人工智能的好处在于:可以帮助组织为应对人工智能驱动型终极网络犯罪形式做好准备。
不断扩大的企业攻击面组织的攻击面正成倍扩展。正如我们在“技术堆栈实体化延伸 ”一章中所讨论的,应用 5G 网络、网络连接数量增加、员工更加分散、伙伴生态系统更加广泛等因素都可能引入新的风险。这些因素使企业不再受防火墙保护,将企业推进客户设备、员工家庭和合作伙伴网络中。
远程办公人员增多。在新冠肺炎疫情之前,居家办公人员的比例仅约为 6%。而到 2020年5月,约35%的受访者居家办公。4在2020 年刚开始封锁的前六周,针对居家办公人员的攻击占比从 12% 上升至 60%。5 调查发现,51% 的受访者
开始远程办公后遇上了更多的钓鱼邮件。
对于许多员工来说,预计远程办公仍将是固定办公方式而非例外情况,这为网络犯罪分子提供了许多新的机会。例如,由于处在企业防火墙和网络安全网关的安全保护范围之外,远程办公人员更容易成为攻击对象。远程办公人员依赖于家庭网络和 VPN 连接,并经常使用不安全的设备访问
基于云的应用程序和数据。而传统的企业内部安全设备通常是为企业级网络而设计,而非基于家庭的互联网接入。随着企业拓展到员工的家庭环境中,用户行为和数据活动更加多样化,且偏离常规。员工在异常时间从不常用的地点和设备登录会增加识别异常行为的挑战性,还可能导致误
报情况增加。联网设备增加。5G、物联网、Wi-Fi 6和其他网络方面的进步使得联网设备增加。越来越多的实体联网资产可能成为网络犯罪分子的软攻击途径。据估计,到 2023年,这类资产数量将达到 293 亿。
连接到这些网络的设备数量达到前所未有之多,产生了大量需要处理和进行安全防护的数据,进而使安全运营中心发生数据堵塞。跟踪和管理活跃资产及其目的和预期行为是一项富有挑战的工作,由服务编排器负责管理活跃资产
时,更是如此。
这类设备中的一大部分并非集中放置或受统一管控的,它们分布在各个远程地点,在多个边缘环境中运行和收集要返回企业的数据。缺少适当安全预防措施的情况下,设备可能会失陷,并在之后继续正常运行于网络中,实际上就会被入侵者控制,成为投放恶意代码或发起群体攻击的机器人程序。
跟踪和管理活跃资产及其目的和预期行为是一项富有挑战的工作,由服务编排器负责管理活跃资产时,更是如此。
第三方合作伙伴生态系统更广泛。长期以来,全球供应链和托管数据、基础设施和服务一直是导致第三方风险的因素,并且这类供应链以及托管数据、基础设施、服务的数量
还在不断增加。随着越来越多的组织将数据与第三方应用集成在一起,API (应用程序接口)带来的安全问题日益显著。据 Gartner 预测,到 2022 年,API 滥用将成为企业受
攻击最频繁的途径。
第三方漏洞正变得日益复杂。五年前,入侵者可能会使用广泛可用的恶意软件来针对特定计算机系统,获得承包商凭证,窃取客户数据。这种情况虽然复杂,但那时我们尚能明确来源,也有能力监控和对破坏进行补救。
与利用复杂供应网络中安全性最低的嵌入组件实现相同目的的攻击相比,这类攻击相形见绌。一个没有边界的漏洞几乎无法监控和补救,活跃的窃取活动也可能持续多年。
5G 网络的应用。预计 5G 将通过新的连接方式、能力和服务完全改变企业网络。但是,企业向包括硬件和分布式软件定义网络、开放架构、虚拟化基础设施内的 5G 组合转变,将导致新的漏洞,扩大攻击面,需要提供更具动态的网络保护。
每平方公里 4G 网络仅可支持 10 万个联网设备9,而每平方公里 5G 网络则可支持多达 100 万个联网设备,创建高度可扩展和连接密集的设备环境。市场观察人士预计,到2025 年,5G 移动连接数将达到 18 亿(不包括物联网),比 2021 年的 5 亿连接数更多; 10 蜂窝物联网连接数量将达到约 37 亿,比 2020 年的 170 万连接数更多。
随着公共5G 网络的扩大,政府、汽车、制造、矿业、能源等行业的组织也开始投资能满足企业低时延、数据隐私和安全无线连接要求的 5G 专网。自动驾驶汽车、无人机、智能工厂设备、手机等连接 5G 公共和专网的设备,应用程序和服务组成的生态系统为黑客提供了更多潜在入口点。因此,每项资产都需要通过配置来满足特定安全要求。而且,随着设备种类的增加,网络变得更加异质化,这给监控和保护带来了日益严峻的挑战。
人工智能防御当今网络威胁
网络安全人才的长期紧缺问题进一步加剧了攻击面不断扩大和网络威胁日益严重复杂的情况。据估计,全球网络安全专业人员缺口超过300万,相关领域的就业人数还需要增长约 89%才能消除这一人才缺口。12 人工智能有助于填补这一缺口。威胁检测加速。威胁检测是最早的网络人工智能应用之一,能够增强现有攻击面管理技术,降低噪音,让稀缺的安全专业人员集中精力处理最突出的入侵信号和指标。威胁检测还能更快速地做出决策并采取行动,关注更具战略意义的活动。
先进的分析和机器学习平台可以快速筛选安全工具产生的大量数据,识别偏离常规的数据,评估数千个遍布网络的联网新资产产生的数据,并通过训练区分合法或恶意的文件、连接、设备和用户。人工智能驱动的网络和资产映射与可视化平台可就不断扩
大的企业攻击面提供实时解读,识别和分类活跃资产,包括集装箱化的资产,从而使违规资产行为可视化。运用人工智能和机器学习的供应链风险管理软件可检测物理和数字供应链环境的过程自动化,并跟踪资产的组成和连接方式。扩大控制与响应的利器。人工智能还可以作为一种力量倍增器,帮助安全团队将耗时的活动自动化,提高控制与响应效率。可以考虑机器学习、深度学习、自然语言处理、强化学习、知识表示等人工智能方法。结合了自动评估和决策的人工智能可帮助分析师管理日益复杂的安全威胁,并实现规模化。
例如,与前几代移动通信技术一样,5G容易受到干扰攻击,即攻击者故意干扰信号传输。来自弗吉尼亚理工大学英联邦网络计划的研究人员,正和德勤研究人员协作研究 5G网络安全设计和实现,致力于在低级别的信号干扰导致网络瘫痪之前实别它。研究人员通过采用基于人工智能的干扰方案和机器学习模型,开发出一套实时脆弱性评估系统,
可以检测出低级信号干扰,并对干扰模式进行分类。自动化有助于最大限度地发挥人工智能的影响,缩短从检测到修复之间的时间。嵌入人工智能和机器学习的SOC(安全运营中心)自动化平台可以采取自主的预防性行动,
例如,阻止访问某些数据等的访问,并将问题上报到安全运营中心进行进一步评估。经用户访问模式训练的机器学习模型置于控制API 访问的 API 管理解决方案之上后,可检查全部 API 流量,实时发现、报告和处理异常情况。积极主动的安全态势。经过适当训练的人工智能可以实现更积极的安全态势,提升网络韧性,使组织能够在受到攻击的情况下继续运作,缩短攻击者停留在组织环境中的时间。
例如,有丰富上下文的用户行为分析可以与无监督机器学习算法相结合,自动检查用户活动,识别网络活动或数据访问中的典型模式,识别、评估和标记异常(并忽略误报),决定是否需要响应或干预。人工智能通过向人类安全专家提供情报,使人类安全专家能够积极寻找攻击者,从而实现积极主动的威胁捕获。
组织可以利用人工智能和机器学习来实现安全策略配置、合规性监测、威胁及漏洞检测与响应等领域的自动化。例如,机器学习驱动的特权访问管理平台可以自动建立和维护安全策略,有助于执行零信任安全模式。通过分析网络流量模式,这类模型能够区分合法连接和恶意连接,并就如何分割网络以保护应用程序和工作负载提出建议。
通过将漏洞分析与强化学习相结合,安全专家可以生成攻击图谱,对复杂网络的结构进行建模,揭示最佳攻击路径,从而更好地理解网络漏洞,减少进行测试所需的人员数量。同样地,网络攻击模拟工具能够持续模拟高级威胁的战术和程序,从而突出基础设施的脆弱性和潜在攻击路径。
提升人类安全分析师的作用。在一项针对安全分析师的调查中,40% 的受访者表示他们最大的痛点在于警报太多;47% 的受访者表示他们难以知道哪些警报应该优先响应。 另一项调查发现,分析师越来越认为他们的作用在于减少警报调查时间和警报的数量,而不是分析安全威胁和对其实施补救。超过四分之三的受访者指出分析师离职率超过 10%,近一半的受访者称离职率在 10% 到 25%之间。
人工智能无法取代人类安全专业人员,但可以促进他们的工作,并可能带来更高的工作满意度。在普通安全运营中心中,人工智能和自动化可以消除一级和二级分析师的繁琐工作。(一级分析师评估传入的数据并决定是否上报问题,二级分析师负责响应故障工单,评估每个威胁的影响范围,确定响应和补救措施,并在必要时上报。)这些分析师可以通过培训承担更具挑战性的战略性工作,例如成为高级二级分析师和三级分析师,去处理最棘手的安全挑战,并专注于主动识别和监测威胁及漏洞。
应对未来人工智能驱动型网络犯罪的利器
快速数据分析、事件处理、异常检测、持续学习和预测性情报这些特征既能使人工智能成为抵御安全威胁的有力武器,也会被犯罪分子用来发展新的或更有效的攻击和发现系统弱点。例如,研究人员利用生成式对抗网络(即两个相互竞争以创建类似训练数据的数据集的神经网络)成功破解了数百万个密码。同样,GPT-3 开源深度学习语言模型也可以学习行为和语言方面的细微差别。网络犯罪分子可以利用该模型来冒充受信任的用户,使得人们几乎无法区分真实和欺诈性的电子邮件和其他通信。17 网络钓鱼攻击可能变得更加情境化且更可信。
高级的攻击者已经可以渗透到网络并保持长期存在而不被发现,其行动往往是缓慢而谨慎的,有特定的目标。再加上人工智能恶意软件,入侵者可以学会如何快速伪装自己,逃避检测,同时攻击许多用户,迅速识别有价值的数据集。
同样,GPT-3 开源深度学习语言模型也可以学习行为和语言方面的细微差别。
组织可以通过“以牙还牙”的方式来防止此类入侵:只要有足够的数据,人工智能驱动型安全工具就可以实时有效地预测和应对人工智能驱动型威胁。例如,安全专业人员可以将研究人员用来破解密码的技术用于测量密码强度或生成诱饵密码,帮助检测漏洞。20 上下文机器学习可以用来理解电子邮件用户的行为、关系和时间模式,以动态检测异常或有风险的用户行为。
未来的方向
虽然许多组织才刚刚开始应用网络人工智能,但人类和人工智能在发现和防止漏洞方面的协作已经有一段时间了。然而,随着传统企业网络外的攻击面和暴露持续增加,人工智能能在更多领域发挥作用。
机器学习、自然语言处理和神经网络等方法可以帮助安全分析师区分信号和噪声。人工智能可以通过模式识别、有监督和无监督机器学习算法、预测性分析和行为分析助力识别和抵御攻击,自动检测异常用户行为、异常网络资源分配或其他异常情况。人工智能可用于同时保障企业内部架构和企业云服务的安全,尽管相比于企业内部环境来说,企业云中的工作负载和资源安全保障工作的难度往往较小。
就其本身而言,人工智能(或任何其他技术)本身无法解决当下或未来复杂的安全挑战。人工智能识别模式的能力和在事件发生时自适应学习的能力可以加快检测、控制和响应的速度,有助于减轻SOC分析师的沉重负担,并使分析师更加主动。对分析师的需求也许会继续保持旺盛态势,但人工智能将会改变分析师的角色。组织可能会要求分析师学习新技能或进行再培训,以帮助分析师从警报分类等低级技能转向更具战略性、主动性的活动。最后,随着人工智能和机器学习驱动型安全威胁的要素开始涌现,人工智能可以帮助安全团队为应对人工智能驱动型终极网络犯罪做好准备。
