機器學習:數(shù)據(jù)中心網(wǎng)絡安全的必備條件
如今,無論是網(wǎng)絡上傳輸?shù)臄?shù)據(jù)量,還是攻擊工具的復雜程度,都已經(jīng)超出了人們所能手動檢測的能力范圍。
數(shù)據(jù)中心網(wǎng)絡也因為其速度越來越快、范圍越來越大,而變得越來越難以保護了。在其中傳輸?shù)臄?shù)據(jù)量,已經(jīng)遠遠超出了人們所能手動監(jiān)控的規(guī)模。即便,合格的安全專家人數(shù)正在日益增加,仍無法滿足如今這種數(shù)據(jù)量爆炸式增長的需求。
更糟糕的是,攻擊者正在使用日益復雜的新型攻擊媒介組織攻擊活動,而安全團隊卻被掩埋在龐大的數(shù)據(jù)流中,無法及時接收到威脅信息。
此外,攻擊者的武器庫也正變得越來越強大。開源AI工具的可用性,意味著攻擊者可以比以往更快地部署更復雜和更具破壞性的攻擊活動。
與此同時,對于受害者而言,違規(guī)成本也正變得越來越昂貴。對于規(guī)模較小的公司而言,一次高調(diào)的數(shù)據(jù)泄露或勒索事件完全可能導致其面臨破產(chǎn)倒閉的結(jié)局。
安全專家表示,通過機器學習增強安全功能不僅有助于提高安全性,也正變得越來越迫切,已經(jīng)成為數(shù)據(jù)中心網(wǎng)絡安全的一項必備條件。
那些不采用人工智能和機器學習技術(shù),來通過自動化為基于行為的安全提供支持(尤其是在攻擊響應和補救方面)的數(shù)據(jù)中心運營商,將最終因為無法跟上威脅技術(shù)的發(fā)展步伐,而將自身變得脆弱不堪。
目前,安全廠商正在為其產(chǎn)品添加人工智能和機器學習功能,來幫助用戶更好地檢測威脅,實現(xiàn)自動化響應,以及幫助進行攻擊的取證分析。
威脅檢測
用于威脅檢測的三種主要機器學習技術(shù)是分類,異常檢測和風險評分。
例如,如果存在大量已知惡意行為和已知良好行為的集合,則可以訓練機器學習系統(tǒng)對這兩個類別之間的新行為進行分類。
該技術(shù)目前主要用于改進惡意軟件檢測 ——通過在善意軟件和惡意軟件的示例上訓練該機器學習系統(tǒng)來區(qū)分這兩者。
通過異常檢測,系統(tǒng)可以了解網(wǎng)絡上的典型行為,并查找任何異常情況。安全專家指出,數(shù)據(jù)中心網(wǎng)絡特別適合利用異常檢測技術(shù)。
“數(shù)據(jù)中心網(wǎng)絡通常通過DevOps實現(xiàn)良好控制和自動化,在這種環(huán)境下,通過機器學習檢測完成的環(huán)境通常要比一般的企業(yè)環(huán)境更具安全性。
不過,分類和異常檢測可能會產(chǎn)生許多潛在的威脅。這時候,風險評分技術(shù)就可以對它們進行分類和排序,幫助安全人員區(qū)分優(yōu)先級,有序且有效地處理潛在威脅。
風險評分不僅有助于識別潛在威脅,還有助于發(fā)現(xiàn)網(wǎng)絡中的弱點,并建議安全人員應該優(yōu)先處理哪些漏洞。
想要實現(xiàn)風險評分過程,首先要充分了解網(wǎng)絡上的設備、應用程序和用戶,以及是否所有內(nèi)容都已經(jīng)正確配置并完全修復。這一過程可能并不像聽起來一般簡單,因為網(wǎng)絡和風險都可以快速變化,需要修復的事物數(shù)量很快就會超過可用時間
機器學習可以幫助人類專家擴展其在分析網(wǎng)絡狀態(tài)和行為方面的專業(yè)知識。此外,它還可以幫助評估現(xiàn)有的安全控制措施是否足夠,并通過適當校準以防御當前的威脅場景。
Gartner將其稱為“風險感知漏洞管理”。
先進的風險感知漏洞管理產(chǎn)品還可以評估每個可能的漏洞的業(yè)務風險,并提出相應的修復建議。
機器學習(ML)輔助取證
在安全專業(yè)人員調(diào)查安全事故時,需要從不同的系統(tǒng)中提取日志,并對其進行掃描以獲取相關(guān)信息,而這一過程可能需要花費大量時間。
通過機器學習驅(qū)動的取證,可以通過立即提取他們最有可能想要看到的數(shù)據(jù),來大大簡化這一過程。
響應自動化
一旦成功識別出威脅,緩解的速度越快,威脅所造成的損害也將越小。
通過自動化一部分響應過程,可以大幅減少反應時間,并將安全團隊從繁復的檢測和響應任務中釋放出來,以專注于更具挑戰(zhàn)性的問題。但問題是,創(chuàng)建自動化腳本本身就很耗時。
幸運的是,通過AI,該機器學習系統(tǒng)可以對公司的事件響應歷史進行訓練,并為緩解活動提出有針對性的建議。對于那些風險最小且能夠提供最大價值的緩解建議,可以自動執(zhí)行;而其他建議則需要提交給人類分析師進行分析審核。
這一過程中同樣存在一個重大障礙,就是數(shù)據(jù)中心經(jīng)常會使用多個安全解決方案,而這些解決方案彼此之間無法很好地兼容。
安全專家認為,對于組織而言,將其安全系統(tǒng)集成到一個單一的整體安全結(jié)構(gòu)(可提供單一窗格管理和可視性)中是至關(guān)重要的。由于缺乏可見性,大多數(shù)數(shù)據(jù)中心缺乏真正的自動化。 而最安全的數(shù)據(jù)中心應該能夠基于適當?shù)目梢娦詠聿东@威脅,并使用自動化來隔離可疑用戶。
當然,看到這,人們一定存在這樣一個疑惑:一旦AI完全部署在數(shù)據(jù)中心,這是否意味著將不再需要人類安全專家?
答案自然是否定的!因為AI能夠?qū)崿F(xiàn)的事情仍然有限。對于我們來說,真正的問題在于應該如何正確地使用、解釋并從安全事件中得出正確的結(jié)論。而就目前而言,這些問題仍然是需要依賴人類安全專家才能實現(xiàn)的事情。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
