随着攻击面的不断扩大以及攻击技术的日趋复杂,安全行业目前正面临着严重的“安全技能短缺”。因此,我们过去所使用的安全保护策略可能已经不再像以前那么有效了,而现在能帮我们对抗网络犯罪分子的盟友武器,可能就是机器学习技术了。
尽管很多大学和在职培训机构已经尽了较大的努力,但到2022年市场上预计将出现180万左右的安全专业职位空缺。这场“危机”之所以会到来,其中一个原因就在于物联网设备数量的直线上升将导致攻击面呈指数增长。与此同时,很多传统的犯罪组织以及流氓国家也正在成为网络犯罪领域中的主要力量,他们所拥有的资源和技术可能比以往安全社区所面临的任何情况都要可怕得多。
但幸运的是,机器学习和其他形式的人工智能技术已经成熟到足以加入网络安全防御战线的较前线了。计算机分析趋势、处理大规模数据以及检测异常的能力都要远远高于人类能力。在机器学习算法的的帮助下,计算机可以根据一系列基本规则来将其应用到大规模数据集上。当它们不停地对这些规则进行迭代测试后,它们对数据的理解将会更加深刻和复杂。
利用机器学习增强安全防御、检测和响应能力
人工智能技术增强了安全分析师的能力,缓解了安全人才短缺的情况。这些激素和可以给初级分析人员提供诊断技能和资源辅助,而这些资源通常需要多年的实战经验才可以积累下来。接下来,我们从防御、检测和响应这三个角度来看看机器学习可以如何帮到我们。
1. 防御
这些年所发生的一些大规模数据泄露事件,都是因为那些已经被修复了的漏洞依然能够被攻击者利用所导致的。比如说,2014年的Heartbleed漏洞里用的就是OpenSSL协议中的一个设计缺陷,但这个漏洞的补丁却早就已经发布出来了。而去年还发生过一次严重的数据泄露事件,此次事件中攻击者利用的是Apache Struts框架中的已知漏洞,而这个漏洞早在事件发生的两个月前就已经被修复了。
补丁管理对于企业安全专家来说是非常重要的,他们不仅要对企业IT资产的安全状态进行持续性的监控,而且还需要对更新补丁进行跟踪。但是,由机器学习驱动的IT运营管理可以让这些操作以自动化的方式进行。
机器学习还可以解决安全防御环节中人类的影响因素,比如说网络钓鱼攻击现在越来越复杂了,而且也很难被人类一眼察觉。而且网络犯罪分子还可以使用脚本来将用户重定向到恶意网站,并且去他们的凭证信息。攻击成功之后,他们就可以迅速将钓鱼页面删除。实际上,一次钓鱼攻击中70%的凭证都是在攻击发起后的1小时之内窃取到的。虽然人类无法快速发现这些钓鱼页面,但是计算机可以通过训练来寻找钓鱼页面的特性,并在一瞬间屏蔽这些页面。除此之外,它们还可以通过网络来分享自己的“经验”,并提升其他设备的检测能力。
2. 检测
行为分析是机器学习的一种,它需要通过搜索大量的系统、网络和数据库信息来寻找异常活动。行为分析可以显着降低(减少75%)网络内部的安全威胁,比如说,检测设备可以发现来自未知IP地址的访问尝试,重复登录失败和下载大量关键数据等行为。
机器学习可以帮助安全团队处理由不当权限所带来的漏洞。计算机设备可以扫描网络上数以百万计的文件夹,并从中寻找警告标识,比如说某些特殊权限或特殊用户等等。除此之外,它们还可以搜索出那些已离职人员的登录凭证。
3. 响应
一旦检测到了入侵行为,安全团队就需要以较快的速度尽量减少损失,并将攻击者“赶出”自己的网络系统。此时的当务之急就是了解数据泄露事件发生的根本原因、了解受感染程度、并确定受影响的范围。
在机器学习的帮助下,安全团队可以快速建立一份“知识图”来描述攻击的波及范围。它们可以精确定位IP地址、设备以及个人用户,而且比手动分析要来得更加快速和精准。这使得团队能够迅速移除所有受感染的元素,并实现安全事件的自动化响应,而这些自动化过程包括将入侵者隔离在单独的子网、关闭端口、隔离设备或对数据进行加密等等。
另一种有趣的新型响应技术就是移动威胁防御,这种技术会不断改变网络中的资源状态,比如IP地址和数据位置等等,并通过这种方式来迷惑并影响攻击者的活动。对于人类来说,手动实现这种技术几乎是不可能的,但机器学习就非常适合这种类型的任务。
团结就是力量
虽然机器学习可以从各个方面帮助我们预防网络威胁,但你可别忘了,我们有的东西,网络犯罪分子也有,而且可能还会更加先进。这是因为如此,我们才需要合作,不仅是不同机构间的合作,而且跨领域之间的合作也是势在必行的,因为网络威胁的严重性要求我们抛开某些竞争,这样才能换取更大的利益。
不过,网络犯罪分子之间也可以共享数据,但他们的动机不同,而且坏人之间几乎是没有信任的。我相信,全球安全专业人员集体的智慧再配合智能机器的强大功能,肯定会成为我们长期以来较强大的安全防线。技术已经诞生了,我们需要的就是集思广益,思考如何才能更好地去使用它们。
