現(xiàn)代網(wǎng)絡(luò)安全需要人工智能

張曉藝

早在撥號互聯(lián)網(wǎng)時(shí)代之前，當(dāng)病毒通過受感染的軟盤傳播時(shí)，網(wǎng)絡(luò)安全就很重要。對手與IT專業(yè)人員之間的戰(zhàn)斗不斷升級，攻擊者會創(chuàng)建新的和不同類型的惡意軟件或攻擊，IT團(tuán)隊(duì)部署新的或改進(jìn)的防御方案來保護(hù)他們不斷增長的數(shù)據(jù)庫存。

在最新一輪的信息安全攻擊中，攻擊者通過新的載體部署新型威脅，并利用人工智能的力量增強(qiáng)這些攻擊。應(yīng)對這些攻擊的唯一方法是在網(wǎng)絡(luò)安全防御中部署人工智能力量。

網(wǎng)絡(luò)安全威脅一直在增長

攻擊面正在增長。在過去，計(jì)算機(jī)獨(dú)立運(yùn)行或使用封閉網(wǎng)絡(luò)與其他幾臺機(jī)器相連，然后是局域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)接入?，F(xiàn)在，一半的應(yīng)用程序在云中運(yùn)行，一半（或可能全部）用戶在家工作并使用移動設(shè)備訪問網(wǎng)絡(luò)。入侵用戶的筆記本電腦、手機(jī)或入侵基于云的應(yīng)用程序，為攻擊者提供了更多潛在的網(wǎng)絡(luò)入口點(diǎn)。供應(yīng)鏈攻擊構(gòu)成了另一種威脅，其中來自受信任供應(yīng)商的軟件也可能包含嵌入式惡意軟件，攻擊者使用受感染的應(yīng)用程序或設(shè)備作為灘頭陣地來入侵網(wǎng)絡(luò)的其余部分。

數(shù)據(jù)呈指數(shù)級增長，這已不是新聞，但現(xiàn)在IT有望保護(hù)大部分或全部數(shù)據(jù)。在舊的安全模型中，InfoSec只需要篩選程序和其他可執(zhí)行文件，例如啟用宏的文檔或電子表格，以確保它們沒有攜帶惡意軟件。這可能是數(shù)據(jù)的5 % ～ 10 %。但如今，即使是不可執(zhí)行的數(shù)據(jù)也需要受到保護(hù)，免遭勒索軟件和盜竊———需要100 %地保護(hù)這些數(shù)據(jù)。分布式應(yīng)用程序架構(gòu)和混合云使服務(wù)器之間所需的通信量成倍增加，而網(wǎng)絡(luò)速度在過去25年中增加了2 000倍（從1995年的100 Mbit以太網(wǎng)到2020年的200 Gbit以太網(wǎng)）。更多的數(shù)據(jù)在網(wǎng)絡(luò)上的移動速度比以往任何時(shí)候都快。需要保護(hù)的數(shù)據(jù)呈指數(shù)級增長，需要篩選和分析的流量呈指數(shù)級增長。

法規(guī)遵從性增加了對保護(hù)什么和如何保護(hù)的要求，從而進(jìn)一步增加了信息安全的負(fù)擔(dān)。必須執(zhí)行額外的數(shù)據(jù)加密、訪問控制、隱私保護(hù)、身份驗(yàn)證方法和報(bào)告，具體取決于哪些法規(guī)會影響組織。網(wǎng)絡(luò)安全專業(yè)人員現(xiàn)在必須實(shí)施他們認(rèn)為必要的保護(hù)措施和法律要求的額外保護(hù)措施，如果遭到黑客攻擊，他們將面臨處罰或披露等要求。

對手很快就會使用人工智能來加強(qiáng)他們的攻擊。研究人員已經(jīng)展示了人工智能如何定制網(wǎng)絡(luò)釣魚攻擊，以使其更有效、創(chuàng)建模仿名人或聽起來完全像老板的（深度偽造）聲音。域生成算法會自動生成可以傳播惡意軟件的新URL，而不會被基于DNS的安全網(wǎng)關(guān)列入黑名單。僵尸網(wǎng)絡(luò)使用簡單的人工智能概念來尋找最脆弱的機(jī)器，并解決網(wǎng)絡(luò)防御問題。較新的病毒已經(jīng)改變了自己的代碼，反復(fù)更改它們的位置，甚至禁用或修改受感染機(jī)器上的反惡意軟件以避免檢測。這些都是用于增強(qiáng)網(wǎng)絡(luò)攻擊的基本或簡單人工智能的例子。

為應(yīng)對威脅風(fēng)暴的挑戰(zhàn)，IT安全專業(yè)人員嚴(yán)重短缺。根據(jù)美國商務(wù)部最近進(jìn)行的一項(xiàng)研究，全國約有950 000人從事網(wǎng)絡(luò)安全工作，但有超過450 000個(gè)網(wǎng)絡(luò)安全職位空缺。

為什么需要人工智能

人工智能可在以下5個(gè)領(lǐng)域幫助檢測和預(yù)防發(fā)生的安全威脅：

比人類篩選更多的數(shù)據(jù)

需要檢查的數(shù)據(jù)量巨大，并且超出任何人，甚至是團(tuán)隊(duì)可以合理篩選的范圍。人類信息安全調(diào)查通常僅在確認(rèn)或至少懷疑違規(guī)后才會進(jìn)行，當(dāng)威脅有限時(shí)，少數(shù)人可以合理地對所有防病毒和防火墻警報(bào)做出反應(yīng)，并有信心應(yīng)對大多數(shù)安全威脅。但是現(xiàn)在，所有服務(wù)器上的所有數(shù)據(jù)和每個(gè)網(wǎng)絡(luò)連接上的所有流量都可能受到懷疑，可信用戶與通過VPN連接的不可信用戶混在一起、Web應(yīng)用程序網(wǎng)關(guān)和基于云的應(yīng)用程序。使用傳統(tǒng)日志記錄或遙測工具的人，每天最多只能采樣幾千兆的數(shù)據(jù)，但基于AI的網(wǎng)絡(luò)安全每天可以審查和分析TB級的數(shù)據(jù)，以檢測惡意軟件、黑客攻擊、數(shù)據(jù)泄露以及成功或正在進(jìn)行的證據(jù)攻擊。

捕捉可疑行為，而不僅僅是可疑位

老派的威脅以固定的、可識別的形式出現(xiàn)，絕大多數(shù)組織只要定期更新安全軟件簽名，就會受到保護(hù)?，F(xiàn)在，高級惡意軟件會自我修改，黑客的工具包可讓不法分子每天甚至每小時(shí)創(chuàng)建新的惡意軟件。新的漏洞利用和病毒通常會在安全公司分發(fā)更新的簽名之前攻擊數(shù)據(jù)中心，這些零日攻擊以前從未出現(xiàn)過，因此它們不會出現(xiàn)在任何威脅數(shù)據(jù)庫中。人工智能驅(qū)動的安全性可以通過發(fā)現(xiàn)可疑行為而不是僅掃描已知簽名來檢測這些威脅?？梢杂?xùn)練AI識別可疑的應(yīng)用程序行為或流量模式以檢測新的攻擊，即使特定攻擊以前從未見過。

識別應(yīng)用程序和網(wǎng)絡(luò)中的錯(cuò)誤、漏洞和錯(cuò)誤

AI有能力通過發(fā)現(xiàn)和解決惡意軟件和泄露敏感數(shù)據(jù)之外的問題來提高安全性。它可以掃描應(yīng)用程序、服務(wù)器和網(wǎng)絡(luò)日志以識別錯(cuò)誤配置、過時(shí)的軟件或不正確的設(shè)置。AI還可以在部署之前掃描應(yīng)用程序代碼或在流片之前掃描芯片設(shè)計(jì)，以幫助在產(chǎn)品投入使用之前發(fā)現(xiàn)漏洞。這些用途不會發(fā)現(xiàn)威脅或病毒，但會消除系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)漏洞，從而降低黑客攻擊成功的可能性。

識別充當(dāng)人類的機(jī)器和充當(dāng)機(jī)器的人類。

用戶對自己進(jìn)行身份驗(yàn)證以訪問應(yīng)用程序，各種應(yīng)用程序、Web、數(shù)據(jù)庫和中間件服務(wù)器也對其他機(jī)器進(jìn)行身份驗(yàn)證以共享數(shù)據(jù)。如果僵尸網(wǎng)絡(luò)學(xué)會模仿人類員工的行為，會發(fā)生什么？如果對手假裝是受信任的服務(wù)器怎么辦？人工智能驅(qū)動的安全學(xué)習(xí)正常的流量和數(shù)據(jù)訪問模式，并可以快速檢測機(jī)器是否在冒充合法用戶（機(jī)器為人）。它還可以檢測攻擊者何時(shí)冒充受信任的機(jī)器來訪問敏感數(shù)據(jù)（人即機(jī)器）。

識別前所未見或零日威脅

傳統(tǒng)的安全軟件引用了一個(gè)已知惡意軟件簽名的數(shù)據(jù)庫，這些簽名應(yīng)該被阻止進(jìn)入數(shù)據(jù)中心。問題是惡意軟件簽名的數(shù)據(jù)庫，敏感信息無法快速更新以跟上新的惡意軟件創(chuàng)建或自我修改的惡意軟件。人工智能驅(qū)動的安全性可以通過識別可疑的行為模式或網(wǎng)絡(luò)流量來識別零日攻擊，而無需依賴固定的簽名數(shù)據(jù)庫。人工智能可以識別敏感信息的類別或類型，而不只是注意到與嚴(yán)格的預(yù)定義列表匹配的信息。

隨著數(shù)據(jù)量、攻擊面和威脅數(shù)量的不斷增長，人工智能技術(shù)是唯一合理的應(yīng)對措施。人工智能驅(qū)動的數(shù)據(jù)科學(xué)提供了覆蓋所有相關(guān)機(jī)器和網(wǎng)絡(luò)流量的規(guī)模，以及識別信息安全團(tuán)隊(duì)及其軟件工具，包括以前從未見過的許多新威脅和漏洞。