為什么說機器學習是我們預防網絡威脅的較佳武器
隨著攻擊面的不斷擴大以及攻擊技術的日趨復雜,安全行業目前正面臨著嚴重的“安全技能短缺”。因此,我們過去所使用的安全保護策略可能已經不再像以前那么有效了,而現在唯一能幫我們對抗網絡犯罪分子的盟友武器,可能就是機器學習技術了。
盡管很多大學和在職培訓機構已經盡了最大的努力,但到2022年市場上預計將出現180萬左右的安全專業職位空缺。這場“危機”之所以會到來,其中一個原因就在于物聯網設備數量的直線上升將導致攻擊面呈指數增長。與此同時,很多傳統的犯罪組織以及流氓國家也正在成為網絡犯罪領域中的主要力量,他們所擁有的資源和技術可能比以往安全社區所面臨的任何情況都要可怕得多。
但幸運的是,機器學習和其他形式的人工智能技術已經成熟到足以加入網絡安全防御戰線的最前線了。計算機分析趨勢、處理大規模數據以及檢測異常的能力都要遠遠高于人類能力。在機器學習算法的的幫助下,計算機可以根據一系列基本規則來將其應用到大規模數據集上。當它們不停地對這些規則進行迭代測試后,它們對數據的理解將會更加深刻和復雜。
利用機器學習增強安全防御、檢測和響應能力
人工智能技術增強了安全分析師的能力,緩解了安全人才短缺的情況。這些激素和可以給初級分析人員提供診斷技能和資源輔助,而這些資源通常需要多年的實戰經驗才可以積累下來。接下來,我們從防御、檢測和響應這三個角度來看看機器學習可以如何幫到我們。
1. 防御
這些年所發生的一些大規模數據泄露事件,都是因為那些已經被修復了的漏洞依然能夠被攻擊者利用所導致的。比如說,2014年的Heartbleed漏洞里用的就是OpenSSL協議中的一個設計缺陷,但這個漏洞的補丁卻早就已經發布出來了。而去年還發生過一次嚴重的數據泄露事件,此次事件中攻擊者利用的是Apache Struts框架中的已知漏洞,而這個漏洞早在事件發生的兩個月前就已經被修復了。
補丁管理對于企業安全專家來說是非常重要的,他們不僅要對企業IT資產的安全狀態進行持續性的監控,而且還需要對更新補丁進行跟蹤。但是,由機器學習驅動的IT運營管理可以讓這些操作以自動化的方式進行。
機器學習還可以解決安全防御環節中人類的影響因素,比如說網絡釣魚攻擊現在越來越復雜了,而且也很難被人類一眼察覺。而且網絡犯罪分子還可以使用腳本來將用戶重定向到惡意網站,并且去他們的憑證信息。攻擊成功之后,他們就可以迅速將釣魚頁面刪除。實際上,一次釣魚攻擊中70%的憑證都是在攻擊發起后的1小時之內竊取到的。雖然人類無法快速發現這些釣魚頁面,但是計算機可以通過訓練來尋找釣魚頁面的特性,并在一瞬間屏蔽這些頁面。除此之外,它們還可以通過網絡來分享自己的“經驗”,并提升其他設備的檢測能力。
2. 檢測
行為分析是機器學習的一種,它需要通過搜索大量的系統、網絡和數據庫信息來尋找異常活動。行為分析可以顯著降低(減少75%)網絡內部的安全威脅,比如說,檢測設備可以發現來自未知IP地址的訪問嘗試,重復登錄失敗和下載大量關鍵數據等行為。
機器學習可以幫助安全團隊處理由不當權限所帶來的漏洞。計算機設備可以掃描網絡上數以百萬計的文件夾,并從中尋找警告標識,比如說某些特殊權限或特殊用戶等等。除此之外,它們還可以搜索出那些已離職人員的登錄憑證。
3. 響應
一旦檢測到了入侵行為,安全團隊就需要以最快的速度盡量減少損失,并將攻擊者“趕出”自己的網絡系統。此時的當務之急就是了解數據泄露事件發生的根本原因、了解受感染程度、并確定受影響的范圍。
在機器學習的幫助下,安全團隊可以快速建立一份“知識圖”來描述攻擊的波及范圍。它們可以精確定位IP地址、設備以及個人用戶,而且比手動分析要來得更加快速和精準。這使得團隊能夠迅速移除所有受感染的元素,并實現安全事件的自動化響應,而這些自動化過程包括將入侵者隔離在單獨的子網、關閉端口、隔離設備或對數據進行加密等等。
另一種有趣的新型響應技術就是移動威脅防御,這種技術會不斷改變網絡中的資源狀態,比如IP地址和數據位置等等,并通過這種方式來迷惑并影響攻擊者的活動。對于人類來說,手動實現這種技術幾乎是不可能的,但機器學習就非常適合這種類型的任務。
團結就是力量
雖然機器學習可以從各個方面幫助我們預防網絡威脅,但你可別忘了,我們有的東西,網絡犯罪分子也有,而且可能還會更加先進。這是因為如此,我們才需要合作,不僅是不同機構間的合作,而且跨領域之間的合作也是勢在必行的,因為網絡威脅的嚴重性要求我們拋開某些競爭,這樣才能換取更大的利益。
不過,網絡犯罪分子之間也可以共享數據,但他們的動機不同,而且壞人之間幾乎是沒有信任的。我相信,全球安全專業人員集體的智慧再配合智能機器的強大功能,肯定會成為我們長期以來最強大的安全防線。技術已經誕生了,我們需要的就是集思廣益,思考如何才能更好地去使用它們。
