現(xiàn)代網(wǎng)絡(luò)安全需要人工智能

張曉藝

早在撥號互聯(lián)網(wǎng)時代之前，當(dāng)病毒通過受感染的軟盤傳播時，網(wǎng)絡(luò)安全就很重要。對手與IT專業(yè)人員之間的戰(zhàn)斗不斷升級，攻擊者會創(chuàng)建新的和不同類型的惡意軟件或攻擊，IT團隊部署新的或改進的防御方案來保護他們不斷增長的數(shù)據(jù)庫存。

在最新一輪的信息安全攻擊中，攻擊者通過新的載體部署新型威脅，并利用人工智能的力量增強這些攻擊。應(yīng)對這些攻擊的唯一方法是在網(wǎng)絡(luò)安全防御中部署人工智能力量。

網(wǎng)絡(luò)安全威脅一直在增長

攻擊面正在增長。在過去，計算機獨立運行或使用封閉網(wǎng)絡(luò)與其他幾臺機器相連，然后是局域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)接入。現(xiàn)在，一半的應(yīng)用程序在云中運行，一半（或可能全部）用戶在家工作并使用移動設(shè)備訪問網(wǎng)絡(luò)。入侵用戶的筆記本電腦、手機或入侵基于云的應(yīng)用程序，為攻擊者提供了更多潛在的網(wǎng)絡(luò)入口點。供應(yīng)鏈攻擊構(gòu)成了另一種威脅，其中來自受信任供應(yīng)商的軟件也可能包含嵌入式惡意軟件，攻擊者使用受感染的應(yīng)用程序或設(shè)備作為灘頭陣地來入侵網(wǎng)絡(luò)的其余部分。

數(shù)據(jù)呈指數(shù)級增長，這已不是新聞，但現(xiàn)在IT有望保護大部分或全部數(shù)據(jù)。在舊的安全模型中，InfoSec只需要篩選程序和其他可執(zhí)行文件，例如啟用宏的文檔或電子表格，以確保它們沒有攜帶惡意軟件。這可能是數(shù)據(jù)的5 % ～ 10 %。但如今，即使是不可執(zhí)行的數(shù)據(jù)也需要受到保護，免遭勒索軟件和盜竊———需要100 %地保護這些數(shù)據(jù)。分布式應(yīng)用程序架構(gòu)和混合云使服務(wù)器之間所需的通信量成倍增加，而網(wǎng)絡(luò)速度在過去25年中增加了2 000倍（從1995年的100 Mbit以太網(wǎng)到2020年的200 Gbit以太網(wǎng)）。更多的數(shù)據(jù)在網(wǎng)絡(luò)上的移動速度比以往任何時候都快。需要保護的數(shù)據(jù)呈指數(shù)級增長，需要篩選和分析的流量呈指數(shù)級增長。

法規(guī)遵從性增加了對保護什么和如何保護的要求，從而進一步增加了信息安全的負擔(dān)。必須執(zhí)行額外的數(shù)據(jù)加密、訪問控制、隱私保護、身份驗證方法和報告，具體取決于哪些法規(guī)會影響組織。網(wǎng)絡(luò)安全專業(yè)人員現(xiàn)在必須實施他們認為必要的保護措施和法律要求的額外保護措施，如果遭到黑客攻擊，他們將面臨處罰或披露等要求。

對手很快就會使用人工智能來加強他們的攻擊。研究人員已經(jīng)展示了人工智能如何定制網(wǎng)絡(luò)釣魚攻擊，以使其更有效、創(chuàng)建模仿名人或聽起來完全像老板的（深度偽造）聲音。域生成算法會自動生成可以傳播惡意軟件的新URL，而不會被基于DNS的安全網(wǎng)關(guān)列入黑名單。僵尸網(wǎng)絡(luò)使用簡單的人工智能概念來尋找最脆弱的機器，并解決網(wǎng)絡(luò)防御問題。較新的病毒已經(jīng)改變了自己的代碼，反復(fù)更改它們的位置，甚至禁用或修改受感染機器上的反惡意軟件以避免檢測。這些都是用于增強網(wǎng)絡(luò)攻擊的基本或簡單人工智能的例子。

為應(yīng)對威脅風(fēng)暴的挑戰(zhàn)，IT安全專業(yè)人員嚴重短缺。根據(jù)美國商務(wù)部最近進行的一項研究，全國約有950 000人從事網(wǎng)絡(luò)安全工作，但有超過450 000個網(wǎng)絡(luò)安全職位空缺。

為什么需要人工智能

人工智能可在以下5個領(lǐng)域幫助檢測和預(yù)防發(fā)生的安全威脅：

比人類篩選更多的數(shù)據(jù)

需要檢查的數(shù)據(jù)量巨大，并且超出任何人，甚至是團隊可以合理篩選的范圍。人類信息安全調(diào)查通常僅在確認或至少懷疑違規(guī)后才會進行，當(dāng)威脅有限時，少數(shù)人可以合理地對所有防病毒和防火墻警報做出反應(yīng)，并有信心應(yīng)對大多數(shù)安全威脅。但是現(xiàn)在，所有服務(wù)器上的所有數(shù)據(jù)和每個網(wǎng)絡(luò)連接上的所有流量都可能受到懷疑，可信用戶與通過VPN連接的不可信用戶混在一起、Web應(yīng)用程序網(wǎng)關(guān)和基于云的應(yīng)用程序。使用傳統(tǒng)日志記錄或遙測工具的人，每天最多只能采樣幾千兆的數(shù)據(jù)，但基于AI的網(wǎng)絡(luò)安全每天可以審查和分析TB級的數(shù)據(jù)，以檢測惡意軟件、黑客攻擊、數(shù)據(jù)泄露以及成功或正在進行的證據(jù)攻擊。

捕捉可疑行為，而不僅僅是可疑位

老派的威脅以固定的、可識別的形式出現(xiàn)，絕大多數(shù)組織只要定期更新安全軟件簽名，就會受到保護。現(xiàn)在，高級惡意軟件會自我修改，黑客的工具包可讓不法分子每天甚至每小時創(chuàng)建新的惡意軟件。新的漏洞利用和病毒通常會在安全公司分發(fā)更新的簽名之前攻擊數(shù)據(jù)中心，這些零日攻擊以前從未出現(xiàn)過，因此它們不會出現(xiàn)在任何威脅數(shù)據(jù)庫中。人工智能驅(qū)動的安全性可以通過發(fā)現(xiàn)可疑行為而不是僅掃描已知簽名來檢測這些威脅。可以訓(xùn)練AI識別可疑的應(yīng)用程序行為或流量模式以檢測新的攻擊，即使特定攻擊以前從未見過。

識別應(yīng)用程序和網(wǎng)絡(luò)中的錯誤、漏洞和錯誤

AI有能力通過發(fā)現(xiàn)和解決惡意軟件和泄露敏感數(shù)據(jù)之外的問題來提高安全性。它可以掃描應(yīng)用程序、服務(wù)器和網(wǎng)絡(luò)日志以識別錯誤配置、過時的軟件或不正確的設(shè)置。AI還可以在部署之前掃描應(yīng)用程序代碼或在流片之前掃描芯片設(shè)計，以幫助在產(chǎn)品投入使用之前發(fā)現(xiàn)漏洞。這些用途不會發(fā)現(xiàn)威脅或病毒，但會消除系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)漏洞，從而降低黑客攻擊成功的可能性。

識別充當(dāng)人類的機器和充當(dāng)機器的人類。

用戶對自己進行身份驗證以訪問應(yīng)用程序，各種應(yīng)用程序、Web、數(shù)據(jù)庫和中間件服務(wù)器也對其他機器進行身份驗證以共享數(shù)據(jù)。如果僵尸網(wǎng)絡(luò)學(xué)會模仿人類員工的行為，會發(fā)生什么？如果對手假裝是受信任的服務(wù)器怎么辦？人工智能驅(qū)動的安全學(xué)習(xí)正常的流量和數(shù)據(jù)訪問模式，并可以快速檢測機器是否在冒充合法用戶（機器為人）。它還可以檢測攻擊者何時冒充受信任的機器來訪問敏感數(shù)據(jù)（人即機器）。

識別前所未見或零日威脅

傳統(tǒng)的安全軟件引用了一個已知惡意軟件簽名的數(shù)據(jù)庫，這些簽名應(yīng)該被阻止進入數(shù)據(jù)中心。問題是惡意軟件簽名的數(shù)據(jù)庫，敏感信息無法快速更新以跟上新的惡意軟件創(chuàng)建或自我修改的惡意軟件。人工智能驅(qū)動的安全性可以通過識別可疑的行為模式或網(wǎng)絡(luò)流量來識別零日攻擊，而無需依賴固定的簽名數(shù)據(jù)庫。人工智能可以識別敏感信息的類別或類型，而不只是注意到與嚴格的預(yù)定義列表匹配的信息。

隨著數(shù)據(jù)量、攻擊面和威脅數(shù)量的不斷增長，人工智能技術(shù)是唯一合理的應(yīng)對措施。人工智能驅(qū)動的數(shù)據(jù)科學(xué)提供了覆蓋所有相關(guān)機器和網(wǎng)絡(luò)流量的規(guī)模，以及識別信息安全團隊及其軟件工具，包括以前從未見過的許多新威脅和漏洞。