機器學習是下一個出色的安全武器!
網絡安全行業有三件很明確的事情:黑客始終會變得更高明,攻擊頻率會加快,他們最終會潛入進來。
如今,大多數成熟的企業和經驗豐富的安全專業人員還是采取消極被動的手段,力求最大限度地成功應對威脅。但是安全運營中心(SOC)只能針對它們能輕松識別的攻擊作出反應,因而需要分析的數據量與監控一切的IT人員之間完全存在很嚴重的失衡。
這時候機器學習應運而生。機器學習讓安全運營中心更加擁有與網絡犯罪分子均等的機會。五年內,機器學習將成為安全檢測和防御技術的一股推動力,這種工具從未停止對異常事件的監管,異常事件可能表明來自企業內外的惡意活動。
機器學習正儼然成為一件備受青睞的利器,讓運營中心所作的決策能夠優化IT運營、安全運營和業務運營。在安全界,它讓IT人員能夠更有效地檢測事件、縮短解決時間、實現響應自動化,并保護企業組織最寶貴的信息。
01.適應和采用
安全威脅變得更加重大。勒索軟件令人不安,有可能讓大型跨國企業或防御措施較少的小公司的運營都陷入癱瘓。不斷改進的攻擊手法讓勒索軟件成為一種更名正言順的日常威脅,讓淪為受害者的企業組織只好在這兩者之間作一選擇:要么任由運營系統被凍結或被刪除,要么乖乖支付贖金、以求解脫。
此外,有更多的大規模攻擊采用僵尸網絡,利用無辜的技術(比如路由器和物聯網聯網設備),向互聯網企業發送海量的互聯網流量,致使它無力招架。針對互聯網的大型、有目的性的分布式拒絕服務(DdoS)攻擊可能會增多,并且有可能給必須24*7在線運行的某些行業(比如醫療、政府和公用事業等行業)帶來嚴重破壞。
另外值得關注的是,現在黑客力求訪問權以獲取數據,不僅僅是為了以此獲利,還為了使數據武器化。損壞聲譽或披露專有信息的泄露是黑客經常采用的花招,可能會給企業組織帶來致命打擊,而不僅僅是財務受到影響。這時候機器學習派得上用場。
02.機器學習是致勝武器
市場的這一演變使得立足于數據的分析驅動型安全策略立絕對必不可少。許多公司在尋求新的策略,實現不斷進入的海量數據的價值最大化;這樣一來,自動化成為了許多公司開展運營的基本驅動力。公司處理的數據中有很大一部分如今是由機器生成的,比如服務器、傳感器、防火墻及其他設備。如今可供使用的一些最先進的機器學習算法旨在更合理地利用這些數據。
機器學習讓企業組織能夠更準確地分析眼前發生的攻擊,而不是尋找以往的趨勢。機器學習不僅被用來識別可能表明攻擊的模式,還用來處理諸多任務,比如實時跟蹤公司企業不同方面的多個參數。雖然迄今為止安全界面臨的挑戰可能被認為是從草堆里找到那根針,而如今的SOC肩負的任務是,從一大垛草堆中找到那根形狀奇特的針。
傳統的分析系統似乎表現不俗,但是它們并不是為分析機器數據并從中學習而開發的。這一項工作落在員工的身上;在大多數企業組織,根本就沒有足夠的人手來處理這項工作。機器學習可以使搜尋行為或活動中的異常模式實現自動化,并提醒安全團隊注意優先級最高的問題。這讓企業組織得以自動檢測并響應已知威脅和未知威脅。
采用機器學習面臨的一個異常棘手的挑戰就是內部威脅。比如說,戴爾公司最近的一項調查發現,數量多得驚人的員工(72%)表示,他們愿意共享機密信息。惡意內部威脅之所以如此頑固,就是由于它們因企業而異,靜態的關聯搜索技術太難對付得了它們。機器學習能夠更容易識別和發現內部威脅,增強安全分析員處理這種重要問題的能力。
03.機器學習的吸引力
未來的SOC似乎有可能將機器學習作為核心的安全工具,將這項技術應用于威脅檢測、風險分析、預防和事件響應。機器學習已經與關鍵的安全技術融為一體,比如安全信息及事件管理(SIEM)和用戶行為分析(UBA)。這種融合將有助于打造一種更動態、更靈活的安全機制,專注于借助機器學習,提供長期的、分析驅動的威脅搜索機制。說到運用人類智慧分析處理機器數據,安全分析員仍然必不可少,然而機器學習和自動化帶來的好處卻讓安全分析員能夠制定一套更強大、積極主動的安全策略。
力求將機器學習應用于安全工作的公司應認真挑選廠商,確保自己獲得物有所值的解決方案。這個市場目前一片亂象;說到使用機器學習這個術語,許多廠商不是無知,就是缺乏誠意。比如說,推銷時號稱機器學習的解決方案可能只是一款輔以病毒特征的基本檢測工具而已。
高級的機器學習解決方案與基本的機器學習解決方案之間也存在重大的區別。先進的機器學習應該具有這類功能:開展針對性調查、發出智能警報和執行預測性行動。
想成功地實施機器學習來加強安全,公司必須先要有一個很適合從機器數據來提供業務洞察力的分析平臺。
隨著更多的公司利用針對這家公司高度定制的機器學習,安全專業人員將會因此而提升安全本領。
HanSight Enterprise平臺采用機器學習、數據建模、關聯分析等技術,可針對以上問題發揮強大的功能,包括:
全局安全態勢感知
將已實施的信息安全技術手段和外部的威脅情報相結合,提高 IT 資源防護水平,有效提升信息安全風險管理的全局可知、可辨、可控、可管與可視能力,提高對網絡信息安全宏觀態勢的掌控、分析和評估水平。
內部威脅發現
以海量內部數據和場景化的安全模型為基礎,快速準確地發現各種內部人員的違規與風險行為,綜合檢測率達業界最高。
安全事件管理
具備安全監控信息匯總和信息安全事件風險協調處理的功能,提高對信息安全事件風險的預警和響應能力。同時可以全量存儲的各類原始安全日志,并建立的索引數據,為安全分析人員提供便捷的查詢接口,使得分析人員能夠對已發生的安全事件進行追溯和定位。
異常檢測
為應對一些未知的漏洞、攻擊手段和新型威脅,平臺應能夠對視頻監控網絡中的流量信息進行連續、實時的監控分析,以發現各種網絡或系統中的異常行為。
持續性合規審計
平臺利用技術化的手段對等級保護的合規要求能夠實時的自查和監控,使得網絡能夠對等級保護要求實現持續性合規。
安全審計
平臺具備安全審計功能,對網絡中的網絡設備、安全設備、操作系統、中間件、應用以及數據庫等的日志信息進行及時的審計,保證安全事件發生后的追溯和追責。
全局報表
平臺能夠直接生成全局安全報表或報告,同時支持自定義報告,比如按照等保合規要求,對各個領域的數據進行統計分析,展現給不同層級的安全管理人員。
