人工智能在网络安全中的作用及6种可能的产品选择

在现代IT环境中,网络威胁日益突出。人们需要探索人工智能在网络安全中的六个最常见的角色及其产品。

越来越多的企业采用人工智能技术,为他们在现代IT环境中的安全工作提供帮助。数据、设备、处理能力、算法和网络系统的指数级增长(对于21世纪的任何企业而言都是宝贵的资产)也伴随着新的风险和漏洞。调研机构Gartner公司在2018年12月发布的一份报告中称,数据安全、基础设施保护和云安全是安全支出增长最快的领域,预计全球企业2019年将在网络安全风险管理方面支出约1370亿美元。

人工智能在网络安全中的作用及6种可能的产品选择

面对这一现实,很多企业已经意识到,仅仅采取被动措施是不够的;它们不仅必须扩展和自动化威胁应对计划,还必须制定积极的措施。

人工智能的功能是由一系列的技术支持的,比如机器学习、深度学习、计算机视觉和自然语言处理,以检测模式并作出推论。在网络安全领域,人工智能在网络安全中的作用是识别用户、数据、设备、系统和网络行为模式,并区分异常和正常。它还帮助管理员分析大量数据,调查新类型威胁,以及更快地响应和应对威胁。

根据Kaleido Insights公司对网络安全市场和供应商的研究和分析,以下是六个常见的使用案例,其中一些供应商为下一代网络安全产品铺平了道路。

1.安全分析师和加强安全运营中心(SOC)

人工智能在网络安全中最常见的用例之一是对分析师的支持。毕竟,人工智能不太可能取代有经验的安全分析师。在机器擅长的领域,例如,分析大数据、消除人员疲劳并使其摆脱繁琐的任务,这样他们就可以利用更加复杂的技能(例如创造力、细微差别和专业知识)来增强人们的能力。在某些情况下,分析人员扩充涉及将预测分析合并到安全运营中心(SOC)工作流中,以进行分类或查询大数据集。

Darktrace公司的Cyber​​ AI Analyst是一个软件程序,通过只显示高优先级事件来支持分析师。同时,它查询海量数据并在整个网络中枢收集调查背景,进行调查并整理低优先级案件。通过分析Darktrace的分析师如何调查警报来训练在数千个部署中开发的数据集,Cyber​​ AI Analyst使用多种机器学习、深度学习和数学技术来处理n维数据,以机器速度生成数千个查询,并进行调查所有并行威胁。

2.新的攻击识别

尽管恶意软件或其他类型的威胁检测已经存在了很多年,通常是将可疑代码与基于签名的系统相匹配,但人工智能现在正在将技术转向推断,以预测新的攻击类型。通过分析大量的数据、事件类型、来源和结果,人工智能技术能够识别新的攻击形式和类型。这一点非常关键,因为攻击技术会随着其他技术的进步而不断发展。

FireEye公司在其MalwareGuard产品中提供了一种新的攻击识别示例。它使用机器学习算法来发现新的、变形的或高级的攻击,其中签名尚未被创建或尚未存在。其引擎利用了私人和公共数据源,其中包括大约1700万个部署的端点安全代理、基于超过100万个攻击响应小时的攻击分析,以及通过全球和多语种安全分析网络收集的情报。

3.行为分析和风险评分

行为分析技术已经在一些不那么关键的领域(比如广告领域)中率先出现,现在正朝着身份认证和反欺诈的关键用例发展。在这里,人工智能算法挖掘大量的用户和设备行为模式、地理位置、登录参数、传感器数据以及大量数据集,以获得用户真实身份。

万事达卡公司的NuData Security是一个利用多因素大数据分析来评估风险,并为端点和用户安全性开发每个事件的动态配置文件的平台。该公司使用机器和深度学习来分析四个领域:

  • 行为数据:浏览器类型、流量变化、浏览速度和页面停留时间。
  • 被动生物识别技术:用户的键入速度、设备角度、击键和压力。
  • 设备智能:特定设备的已知连接与新连接、位置和网络交互。
  • 行为信任联盟:万事达卡(Mastercard)的大数据存储库,可在人口级别分析数十亿个数据点。

4.基于用户的威胁检测

从内部威胁到特权滥用和管理滥用再到黑客,人类是网络风险的重要而多样的载体。因此,人工智能技术应运而生,以检测用户在IT环境中的交互方式的变化,并描述他们在攻击环境中的行为特征。

LogRhythm公司正在使用其下一代SIEM平台CloudAI来进行基于用户的威胁检测。具体来说,该公司将不同的用户帐户(VPN、工作电子邮件、个人云存储)以及相关的标识符(例如用户名和电子邮件地址)映射到实际用户的身份,以建立全面的行为基准和用户配置文件。此外,CloudAI旨在随着时间的推移而发展,以用于当前和将来的威胁检测。分析师在正常的调查过程中对系统进行培训,并从整个平台的扩展客户群中收集数据以进行威胁培训。CloudAI还可以配置模型以通过连续调整进行自我修复,而无需人工干预。

Vectra AI公司通过分析攻击生命周期对这种用例采用了差异化的方法。使用大约60种机器学习模型来分析攻击者在攻击生命周期中可能执行的所有行为,其中包括远程访问工具、隐藏通道、后门、侦察工具,凭证滥用和过滤。该公司声称,其Cognito平台颠覆了传统的基于用户的威胁检测方法,为防御者提供了多种机会来检测攻击者。

5.跨端点终止链的设备上检测

移动设备在企业中的兴起,开启了网络安全威胁的新时代,改变了端点安全的本质。企业通常管理传统的端点,比如笔记本电脑,而现在的移动“系统管理员”是最终用户。无论是员工、消费者还是黑客,都会采用下载、应用程序、通信渠道和网络交互等服务。此外,应用程序通常都在自己的容器中,这限制了传统的补丁管理。这种根本不同的配置意味着,攻击者的目标是通过提供根访问漏洞来持久化,从而危害整个设备,同时有效地避开企业网络。因此,移动端点保护必须保护整个杀伤链——从仿冒应用程序或网络的钓鱼尝试到各种不同的恶意攻击类型。在这里,管理员将机器学习应用于每个攻击向量,而不是为每个攻击向量部署不同的检测系统,以便预测任何给定点交互威胁系统接管的可能性。

Zimperium公司是一家专门从事移动终端安全的公司,它使用机器学习在整个移动杀伤链中提供设备上检测,监控所有恶意软件、网络钓鱼、设备、应用程序和网络交互。虽然目前没有在设备上运行机器学习模型,但Zimperium在通过基于云计算的深度学习技术派生的设备上部署了基于机器学习的检测技术,在7000万多台设备上使用,它监控来自所有恶意软件、网络钓鱼、设备、应用程序、网络交互的所有矢量的匿名数据,使用云计算技术分析特定的攻击路径,识别来自信号的噪声,运行测试场景,并部署分类器以改进逻辑和算法,然后应用于设备上检测。这个循环对于在当前和新的威胁类型(贯穿整个杀伤链)攻击或实现持久接管之前进行检测至关重要。

6.断开连接的环境中的主动安全性

随着数据和设备渗透到物理世界,保护和减少平均检测和响应时间的能力成为连接和计算能力的问题。越来越复杂的技术基础设施意味着对其运营的安全性和效率的更大需求,这些基础设施可以在航空、能源、国防和海事等关键任务环境中实现数据价值。在这些环境中,计算密集度更高的人工智能应用程序仍处于萌芽状态,但新技术不断涌现,可以通过本地支持促进基于机器学习的脚本、文件、文档和恶意软件分析的安全性。

SparkCognition公司自称是一家人工智能公司,而不是一家安全公司,该公司支持在断开连接的环境中使用的应用程序。当地911调度中心采用其应用程序管理其托管的敏感信息。SparkCognition公司的DeepArmor通过现场管理控制台运行。具体来说,DeepArmor使用机器学习对大约20,000个独特文件功能进行静态文件分析,以确定在几秒钟内恶意活动的可能性。尽管管理人员必须在这些环境中人工执行模型更新,但DeepArmor没有签名要求,这意味着它不需要每日签名扫描。

人工智能在网络安全中的作用正在扩大

当然,还有其他一些规模较小的用例可用于将机器学习和深度学习应用于网络安全需求,其中包括以下内容:

  • 大数据查询的生成和分析
  • 威胁扩散和扩散检测
  • 自主响应
  • 代理合并和跨其他安全工具的部署
  • 威胁阻止自动化
  • 恶意软件分类
  • 攻击分类(未知、内部、持续)
  • 假阳性减少
  • 产品自我修复
  • 机器数据理解(超过800种不同的设备类型)
  • 加密的流量分析
  • 政策合规性分析
  • 网络风险保险
  • 增强网络风险尽职调查(合并和收购前)

相关推荐