剛剛結束的RSAC2020大會主題為“人的因素”，業(yè)界廣泛討論的是如何強化和緩解人這一重要環(huán)節(jié)的脆弱性，但很多人忽略了“Human Element”背后的隱藏含義：淘汰一切可以淘汰的“人的因素”，才是網絡安全未來比較大的商機。

[[317584]]

根據MarketsandMarkets人工智能網絡安全預測報告，到2026年，人工智能網絡安全市場規(guī)模預計將從2019年的88億美元增長到382億美元，年復合增長率高達23.3%(下圖)。

市場增長的主要驅動力是新的攻擊面和攻擊矢量往往超出傳統安全防御體系的感知范圍、處理能力和響應速度，例如物聯網的普及和聯網設備的數量不斷增加、網絡威脅實例不斷增加、對大數據隱私問題的擔憂日益增加。

此外Wi-Fi網絡的脆弱性在新興威脅中暴露出的問題也日益嚴峻，例如本期微信二條介紹的，可通過WiFi網絡實施的“智能手機超聲波攻擊”，以及安全牛之前報道過的《木馬病毒Emotet可“空氣傳播”：感染附近WiFi網絡》。

與此同時，人工智能在網絡安全市場中的潛在機遇包括中小企業(yè)對基于云的安全解決方案的需求不斷增長，以及越來越多地使用社交媒體來實現業(yè)務功能。微盟刪庫事件給所有企業(yè)CISO當頭一棒：

人工智能永遠拍不出鬼片，但人會，越重要的人員越容易拍出票房過10億的大片。人工智能最大的優(yōu)點是六親不認油鹽不進，面對網絡犯罪分子屢試不爽的社工攻擊，人工智能員工(例如呼叫中心程序或者半人半AI的混合型Cyborg員工)完全不懂如何上當。

攻擊性人工智能技術熱點

如果您認為以上都是危言聳聽，嘩眾取寵，那么我們來看看我們的對手，網絡犯罪分子們將如何用人工智能技術“降維打擊”現有的安全防御體系：

• AI/ML 數據中毒與破壞

攻擊者試圖投毒(例如對抗性數據樣本)業(yè)務應用中的AI/ML訓練數據，以便破壞決策和運營。安全行業(yè)需密切關注此類新型攻擊案例。試想，如果依賴AI自動化供應鏈的公司企業(yè)遭遇此類攻擊，會發(fā)生什么情況?被污染的數據極可能導致產品供應嚴重不足或過剩。

Splunk高級副總裁兼安全市場總經理宋海燕表示：

我們預期將會看到用似是而非的數據樣本給算法投毒的攻擊，這些攻擊的目的是帶偏機器學習算法的學習過程。這不僅僅是愚弄智能技術，而是讓學習算法看起來似乎工作正常，產出的卻是錯誤的結果。

• 虛假音頻技術將商務電郵入侵帶入新征程

商務電郵入侵(BEC)指的是攻擊者冒充CEO或其他高級經理，以完成交易或履行業(yè)務的名義，誘騙公司銀行賬戶負責人做出錯誤轉賬。BEC每年給公司企業(yè)造成高達數十億美元的損失。如今，在AI技術加持下，BEC攻擊借助虛假電話音頻再登新高峰。2019年我們已經見識到了第一波利用虛假音頻冒充公司CEO來電的攻擊事件。其中一個案例里，一家英國能源公司的員工被騙向攻擊者的銀行賬戶里轉入了24萬美元。專家認為，2020年將出現更多利用AI技術偽造的CEO虛假音頻執(zhí)行的BEC攻擊。

Illumio創(chuàng)始人兼首席技術官PJ Kirner稱：

即便公司已經培訓員工如何識別潛在網絡釣魚電子郵件，仍有太多員工沒準備好面對網絡釣魚音頻，因為這些虛假音頻聽起來太可信了，而且真的沒什么有效的檢測方法。而且，即使此類‘音頻釣魚’攻擊為人所知以后，我們也將在明年看到更多惡意黑客利用高管層的聲音執(zhí)行攻擊。

• 人工智能惡意軟件規(guī)避沙箱

深度偽造的音視頻還只是壞人利用AI實施攻擊的方式之一。安全研究人員需要繃緊神經，對AI驅動的惡意軟件規(guī)避技術嚴陣以待。有些安全人員認為，2020年可能是惡意軟件使用AI模型繞過沙箱的元年。

人工智能技術加持的惡意軟件可以提高隱蔽性和針對性，繞過主流的檢測技術。例如IBM的AI惡意軟件概念驗證工具DeepLocker能夠利用可公開獲取的數據對網絡安全工具隱瞞自己，并且處于休眠狀態(tài)，直到達到預定目標為止。一旦通過面部或語音識別檢測到目標，便會執(zhí)行惡意載荷。

Blue Hexagon首席技術官Saumitra Das預測：

惡意軟件作者將拋棄用規(guī)則來確定‘特性’和‘進程’是否表明樣本身處沙箱之中的做法，轉而采用AI加以判斷，有效創(chuàng)建能夠更準確分析自身環(huán)境的惡意軟件，確定自身是否在沙箱中運行，進而增加沙箱規(guī)避有效性。

• 生物特征識別的貓鼠游戲

隨著AI和生物特征識別技術用于驗證客戶身份，金融服務行業(yè)的反欺詐將上演貓鼠游戲。金融機構正快速迭代身份驗證機制，使用人臉識別和AI掃描、分析并確認手機攝像頭和身份證件生成的在線身份。但他們需保持警惕，因為壞人也會用AI創(chuàng)建深度偽造的ID，騙過這些生物特征識別驗證系統。

Jumio總裁Robert Prigge表示：

2020年，我們將看到深度偽造技術武器化的上升，此類技術將隨生物特征識別身份驗證解決方案的廣泛采納而被惡意黑客大肆濫用。

• 差別隱私在分析數據保護領域引發(fā)關注

大數據、AI和嚴格的隱私監(jiān)管三管齊下，公司企業(yè)為此頭疼不已，迫使安全及隱私從業(yè)者開發(fā)更好的隱私保護方法，屏蔽當今諸多AI應用賴以起效的客戶分析數據中的敏感信息。好消息是，我們也可以運用其他形式的AI實現這一點。

Avast人工智能主管Rajarshi Gupta稱：

2020年我們將看到AI算法的實際應用，包括共享數據集中模式描述的同時隱藏個人信息的差別隱私系統。

Gupta認為，差別隱私將使公司企業(yè)在不暴露客戶和其他個人的隱私信息的情況下，仍能像現在一樣從大數據洞見中獲益。

• AI倫理與公平的沉痛教訓

AI倫理、公平與影響的沉痛教訓就在前方。這些問題值得安全主管們嚴肅對待。他們必須保護依賴AI運行的系統的完整性與可用性。

博思艾倫咨詢公司網絡安全戰(zhàn)略負責人，RSA大會咨詢委員會成員Todd Inskeep表示：

明年網絡安全領域中AI的使用將給我們帶來很多新的經驗教訓。近期Apple Card給男性和女性設置不同信用額度的案例，凸顯出我們并未真正理解AI算法機制的事實。我們將會發(fā)現一些AI陽奉陰違或者磨洋工的案例。

• 防御性人工智能安全技術熱點

凱捷研究所針對850名企業(yè)高級管理人員的調查發(fā)現，2019年五分之一的企業(yè)使用AI網絡安全技術，多達三分之二的企業(yè)表示2020年計劃將人工智能技術全面應用于威脅發(fā)現、預測和響應。超過70%的組織當前正在測試AI網絡安全用例，涉及從欺詐和入侵檢測到風險評分和用戶/機器行為分析(UEBA)的所有方面。不同領域的需求熱度分布如下：

凱捷的調研結果呼應了本文開頭引用的預測數據——2019年人工智能網絡安全市場的價值已達到88億美元，2026年將突破380億美元。顯然無論是企業(yè)界還是網絡安全行業(yè)都對人工智能的價值深信不疑。

最初，人工智能在安全防御領域的應用都是一些比較簡單的場景(例如電子郵件垃圾郵件過濾器)，2020年開始，人工智能技術將擴展到網絡安全團隊的所有職能和部門，從網絡釣魚、惡意軟件到郵件安全、反欺詐、行為分析和APT防御。

人工智能技術的關鍵是數據，這意味著企業(yè)越早“挖坑蓄水”，其人工智能防御系統積累的可用數據越多，安全防御能力越強。

例如，每個網絡釣魚電子郵件都會留下大量數據。機器學習算法可以收集和分析此數據，以通過檢查已知的惡意標記來計算可能有害的電子郵件的風險。

分析級別還可以擴展到掃描郵件正文中的附件和URL，甚至還可以借助計算機視覺的機器學習，檢測到冒充合法網站的網絡釣魚網站。

類似的機器學習模型還可以應用于其他常見威脅，例如惡意軟件。惡意軟件會隨著時間的推移而增長和發(fā)展，并且經常在組織發(fā)現之前造成相當大的破壞。

采用人工智能技術的網絡安全防御可以依靠以前類似攻擊的數據和經驗來更快地應對此類威脅，以預測并阻止其擴散。隨著技術的不斷發(fā)展，其在網絡安全防御中的普及程度也將不斷提高。

根據報告，以下領域的人工智能安全技術最具潛力：

欺詐偵測、用戶/機器行為分析、風險評分、入侵檢測和惡意軟件檢測是現階段人工智能安全技術商業(yè)化潛力比較大的應用(收益高、復雜性低)。

最后，我們需要記住：人工智能的比較大優(yōu)點就是它的速度。機器學習算法可以快速應用復雜的模式識別技術來發(fā)現和阻止攻擊，其部署和響應速度比任何人都快。