網(wǎng)絡(luò)犯罪分子不斷尋求新的方法來實施攻擊，但由于人工智能(AI)及其子集機器學(xué)習(xí)，自動抵御這些攻擊成為可能。

秘密在于機器學(xué)習(xí)能夠監(jiān)控網(wǎng)絡(luò)流量，并了解系統(tǒng)內(nèi)的正常情況，使用這些信息來標(biāo)記任何可疑活動。正如該技術(shù)的名字所暗示的那樣，它能夠利用企業(yè)每天收集的大量安全數(shù)據(jù)，隨著時間的推移變得更加有效。

此時，當(dāng)機器發(fā)現(xiàn)異常時，它會向人類(通常是安全分析師)發(fā)送警報，以決定是否需要采取措施。但一些機器學(xué)習(xí)系統(tǒng)已經(jīng)能夠自行響應(yīng)，例如限制某些用戶的訪問。

人工智能在安全領(lǐng)域取代人類嗎?

談?wù)撟詣踊腿斯ぶ悄芡ǔ?dǎo)致失業(yè)，但對于安全行業(yè)來說，機器學(xué)習(xí)正在被部署來補充現(xiàn)有的專業(yè)知識，而不是取代它。

這些系統(tǒng)并不是為了自主工作而設(shè)計的，而是為了處理那些分散人類工作者有效工作注意力的任務(wù)。例如，人工智能非常擅長處理數(shù)據(jù)，然后可以用于進一步的分析，這是一項仍然非常需要人類的任務(wù)。

然而，根據(jù)Moonpig網(wǎng)絡(luò)安全負責(zé)人塔什·諾里斯(Tash Norris)的說法，人工智能數(shù)據(jù)分析還可以提供其他好處。作為IT Pro小組的一員，他說“分析師自然會尋找他們以前見過的相關(guān)性，或者他們期望看到的相關(guān)性”。

“人工智能的真正實現(xiàn)應(yīng)該能夠得出‘無偏’的相關(guān)性，從你擁有的數(shù)據(jù)集帶來更多價值。”

小組成員一致認(rèn)為，部署人工智能和機器學(xué)習(xí)系統(tǒng)最明智的地方是在檢測和響應(yīng)功能的廣泛類別中，包括像SIEM、SOAR和EDR這樣的任務(wù)。通過自動化這些更加手動的過程，員工可以解放出來處理更危險的威脅，使用人工智能作為力量倍增器來擴展安全團隊的能力。

Darktrace的技術(shù)總監(jiān)戴夫帕爾默(Dave Palmer)表示:“擁有機器學(xué)習(xí)可以讓公司更有效地確定優(yōu)先級。我們不排除人為風(fēng)險決策，但我們允許戰(zhàn)術(shù)滅火，因此安全團隊可以在自己的時間范圍內(nèi)完成工作。”

這家總部位于劍橋的人工智能初創(chuàng)公司最近與微軟合作，為過渡到云的組織提供人工智能增強的網(wǎng)絡(luò)安全。該合作伙伴關(guān)系專注于解決電子郵件安全、數(shù)據(jù)集成以及簡化的安全工作流等“關(guān)鍵領(lǐng)域”的安全挑戰(zhàn)。這包括微軟的Azure hosting Antigena Email，它使用Darktrace的人工智能技術(shù)來阻止最先進的電子郵件威脅，該產(chǎn)品也在Azure Marketplace上上市。

Darktrace電子郵件安全產(chǎn)品總監(jiān)Dan Feinat警告說，這家人工智能初創(chuàng)公司每天都目睹“攻擊者冒充首席執(zhí)行官或侵入供應(yīng)商的賬戶，發(fā)送看起來合法的有針對性的熱門電子郵件”。

“隨著這些攻擊變得越來越復(fù)雜，員工教育和意識是不夠的。答案在于技術(shù)，”他補充道。

英國網(wǎng)絡(luò)安全初創(chuàng)公司Cyberlytic的首席執(zhí)行官斯圖爾特·萊德勞也主張使用機器學(xué)習(xí)來減輕安全分析師的工作量。“這是關(guān)于減少噪音:這些人忙于他們的日常工作，他們不能對所有事情做出反應(yīng)。我們使用機器學(xué)習(xí)來做分診。”

云安全公司ProtectWise的聯(lián)合創(chuàng)始人Gene Stevens表示，機器學(xué)習(xí)顯示出最大潛力的地方是解釋許多不同專家系統(tǒng)的輸出并將其整合在一起。“人類花了很多時間試圖將其合理化。機器學(xué)習(xí)擅長采用這些模式并組織數(shù)據(jù)，因此人類可以對網(wǎng)絡(luò)上的流量進行高度整合。”

機器學(xué)習(xí)也可以用于用戶行為分析。例如，Auriga Consulting的首席技術(shù)官賈馬爾埃爾默拉斯(Jamal Elmellas)表示:“如果有人每天在08:55登錄，然后時間變成了01:00，系統(tǒng)會將此標(biāo)記為可疑行為。”

如何在網(wǎng)絡(luò)安全中部署機器學(xué)習(xí)

隨著技術(shù)的不斷發(fā)展，可行用例的數(shù)量也在增加。

其中一個例子是異常檢測，它正在被自動化改造。這在很大程度上是由于將技術(shù)應(yīng)用于任務(wù)相對容易，因為您可以通過相當(dāng)少的培訓(xùn)來啟動系統(tǒng)。

劍橋VASCO創(chuàng)新中心(VASCO Innovation Centre)的安全架構(gòu)師史蒂文·默多克(Steven Murdoch)表示：“你為它提供了一系列數(shù)據(jù)，并標(biāo)出了看起來不尋常的東西。”。“然后可以將其用于入侵保護。”

機器學(xué)習(xí)也可以低成本獲得：像云一樣，產(chǎn)品通常可以免費試用。此外，Laidlaw說，亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)等公司提供了人工智能組件。“一些解決方案只要插上電源，你就可以讓幾個數(shù)據(jù)科學(xué)家來發(fā)現(xiàn)異常。”

帕爾默建議：“了解它如何適合你的業(yè)務(wù)。人工智能作為一個領(lǐng)域是非常包容的;書籍和培訓(xùn)課程都可以在網(wǎng)上獲得。”

當(dāng)然，與任何新技術(shù)一樣，您需要克服一些缺陷。并非每個專家都相信機器學(xué)習(xí)在網(wǎng)絡(luò)安全方面有著光明的前景，因為網(wǎng)絡(luò)罪犯也可以使用人工智能攻擊公司。這包括黑客可能欺騙一個防御系統(tǒng)，并使其對抗其所有者。

機器學(xué)習(xí)也有其局限性。SecureData首席安全策略官查爾·范德沃爾特(Charl van der Walt)表示，許多網(wǎng)絡(luò)攻擊不符合機器學(xué)習(xí)訓(xùn)練識別的模式。“對手很靈活，一直在變化。因此，很難找到存在對抗模式的數(shù)據(jù)集。”

蒂賽德大學(xué)(Teesside University)機器智能研究小組組長曾益峰(Yifeng Zeng)博士表示，使用數(shù)據(jù)進行準(zhǔn)確預(yù)測是頭號挑戰(zhàn)。此外，他說：“使用機器學(xué)習(xí)，公司聲稱他們可以處理以前的攻擊，但他們將如何處理新的攻擊?網(wǎng)絡(luò)安全的重要問題是預(yù)測未來的攻擊。那么，我們?nèi)绾问褂靡郧暗臄?shù)據(jù)來識別意外模式?”

網(wǎng)絡(luò)安全中機器學(xué)習(xí)的未來

盡管面臨挑戰(zhàn)，網(wǎng)絡(luò)安全專家相信機器學(xué)習(xí)將繼續(xù)存在。隨著技術(shù)的進步，可能會出現(xiàn)了解他們何時受到攻擊并采取措施保護自己的程序。

與此同時，帕爾默表示：“機器可以研究人類對不同類型攻擊的反應(yīng)方式及其調(diào)查方式。例如，他們可以提出建議，例如，“處于您的情況下的人接下來會采取這些步驟”，以一種上下文有用的方式充當(dāng)教練或傳聲筒。”

此外，有人建議，不久將部署機器學(xué)習(xí)系統(tǒng)，以欺騙對手，而不僅僅是利用它預(yù)測什么是壞事。

范德沃爾特說：“這需要人為地重塑你的環(huán)境，使其成為一個移動的目標(biāo)，并鼓勵對手追逐大量的轉(zhuǎn)移注意力的行為。”。

這可能包括為對手創(chuàng)建假目標(biāo)，例如看起來真實但實際上不是的文件和系統(tǒng)。“這是對機器學(xué)習(xí)的另一種思考方式：欺騙是一種防御策略。”

回到今天，人工智能和機器學(xué)習(xí)如何成為公司網(wǎng)絡(luò)安全戰(zhàn)略的一部分?它有很大的潛力，但該技術(shù)不能成為公司的唯一安全手段;這是整體防御的一部分。就目前而言，萊德勞建議：“知道你的皇冠上的寶石在哪里，保護最有價值的東西，把人工智能作為保護的一部分。”