在現(xiàn)代IT環(huán)境中，網(wǎng)絡(luò)威脅日益突出。

人們需要探索人工智能在網(wǎng)絡(luò)安全中的六個最常見的角色及其產(chǎn)品。

越來越多的企業(yè)采用人工智能技術(shù)，為他們在現(xiàn)代IT環(huán)境中的安全工作提供幫助。

數(shù)據(jù)、設(shè)備、處理能力、算法和網(wǎng)絡(luò)系統(tǒng)的指數(shù)級增長(對于21世紀的任何企業(yè)而言都是寶貴的資產(chǎn))也伴隨著新的風(fēng)險和漏洞。

調(diào)研機構(gòu)Gartner公司在2018年12月發(fā)布的一份報告中稱，數(shù)據(jù)安全、基礎(chǔ)設(shè)施保護和云安全是安全支出增長最快的領(lǐng)域，預(yù)計全球企業(yè)2019年將在網(wǎng)絡(luò)安全風(fēng)險管理方面支出約1370億美元。

面對這一現(xiàn)實，很多企業(yè)已經(jīng)意識到，僅僅采取被動措施是不夠的;它們不僅必須擴展和自動化威脅應(yīng)對計劃，還必須制定積極的措施。

人工智能的功能是由一系列的技術(shù)支持的，比如機器學(xué)習(xí)、深度學(xué)習(xí)、計算機視覺和自然語言處理，以檢測模式并作出推論。

在網(wǎng)絡(luò)安全領(lǐng)域，人工智能在網(wǎng)絡(luò)安全中的作用是識別用戶、數(shù)據(jù)、設(shè)備、系統(tǒng)和網(wǎng)絡(luò)行為模式，并區(qū)分異常和正常。

它還幫助管理員分析大量數(shù)據(jù)，調(diào)查新類型威脅，以及更快地響應(yīng)和應(yīng)對威脅。

根據(jù)Kaleido Insights公司對網(wǎng)絡(luò)安全市場和供應(yīng)商的研究和分析，以下是六個常見的使用案例，其中一些供應(yīng)商為下一代網(wǎng)絡(luò)安全產(chǎn)品鋪平了道路。

1.安全分析師和加強安全運營中心(SOC)人工智能在網(wǎng)絡(luò)安全中最常見的用例之一是對分析師的支持。

畢竟，人工智能不太可能取代有經(jīng)驗的安全分析師。

在機器擅長的領(lǐng)域，例如，分析大數(shù)據(jù)、消除人員疲勞并使其擺脫繁瑣的任務(wù)，這樣他們就可以利用更加復(fù)雜的技能(例如創(chuàng)造力、細微差別和專業(yè)知識)來增強人們的能力。

在某些情況下，分析人員擴充涉及將預(yù)測分析合并到安全運營中心(SOC)工作流中，以進行分類或查詢大數(shù)據(jù)集。

Darktrace公司的Cyber?? AI Analyst是一個軟件程序，通過只顯示高優(yōu)先級事件來支持分析師。

同時，它查詢海量數(shù)據(jù)并在整個網(wǎng)絡(luò)中樞收集調(diào)查背景，進行調(diào)查并整理低優(yōu)先級案件。

通過分析Darktrace的分析師如何調(diào)查警報來訓(xùn)練在數(shù)千個部署中開發(fā)的數(shù)據(jù)集，Cyber?? AI Analyst使用多種機器學(xué)習(xí)、深度學(xué)習(xí)和數(shù)學(xué)技術(shù)來處理n維數(shù)據(jù)，以機器速度生成數(shù)千個查詢，并進行調(diào)查所有并行威脅。

2.新的攻擊識別盡管惡意軟件或其他類型的威脅檢測已經(jīng)存在了很多年，通常是將可疑代碼與基于簽名的系統(tǒng)相匹配，但人工智能現(xiàn)在正在將技術(shù)轉(zhuǎn)向推斷，以預(yù)測新的攻擊類型。

通過分析大量的數(shù)據(jù)、事件類型、來源和結(jié)果，人工智能技術(shù)能夠識別新的攻擊形式和類型。

這一點非常關(guān)鍵，因為攻擊技術(shù)會隨著其他技術(shù)的進步而不斷發(fā)展。

FireEye公司在其MalwareGuard產(chǎn)品中提供了一種新的攻擊識別示例。

它使用機器學(xué)習(xí)算法來發(fā)現(xiàn)新的、變形的或高級的攻擊，其中簽名尚未被創(chuàng)建或尚未存在。

其引擎利用了私人和公共數(shù)據(jù)源，其中包括大約1700萬個部署的端點安全代理、基于超過100萬個攻擊響應(yīng)小時的攻擊分析，以及通過全球和多語種安全分析網(wǎng)絡(luò)收集的情報。

3.行為分析和風(fēng)險評分行為分析技術(shù)已經(jīng)在一些不那么關(guān)鍵的領(lǐng)域(比如廣告領(lǐng)域)中率先出現(xiàn)，現(xiàn)在正朝著身份認證和反欺詐的關(guān)鍵用例發(fā)展。

在這里，人工智能算法挖掘大量的用戶和設(shè)備行為模式、地理位置、登錄參數(shù)、傳感器數(shù)據(jù)以及大量數(shù)據(jù)集，以獲得用戶真實身份。

萬事達卡公司的NuData Security是一個利用多因素大數(shù)據(jù)分析來評估風(fēng)險，并為端點和用戶安全性開發(fā)每個事件的動態(tài)配置文件的平臺。

該公司使用機器和深度學(xué)習(xí)來分析四個領(lǐng)域：行為數(shù)據(jù)：瀏覽器類型、流量變化、瀏覽速度和頁面停留時間。

被動生物識別技術(shù)：用戶的鍵入速度、設(shè)備角度、擊鍵和壓力。

設(shè)備智能：特定設(shè)備的已知連接與新連接、位置和網(wǎng)絡(luò)交互。

行為信任聯(lián)盟：萬事達卡(Mastercard)的大數(shù)據(jù)存儲庫，可在人口級別分析數(shù)十億個數(shù)據(jù)點。

4.基于用戶的威脅檢測從內(nèi)部威脅到特權(quán)濫用和管理濫用再到黑客，人類是網(wǎng)絡(luò)風(fēng)險的重要而多樣的載體。

因此，人工智能技術(shù)應(yīng)運而生，以檢測用戶在IT環(huán)境中的交互方式的變化，并描述他們在攻擊環(huán)境中的行為特征。

LogRhythm公司正在使用其下一代SIEM平臺CloudAI來進行基于用戶的威脅檢測。

具體來說，該公司將不同的用戶帳戶(VPN、工作電子郵件、個人云存儲)以及相關(guān)的標(biāo)識符(例如用戶名和電子郵件地址)映射到實際用戶的身份，以建立全面的行為基準和用戶配置文件。

此外，CloudAI旨在隨著時間的推移而發(fā)展，以用于當(dāng)前和將來的威脅檢測。

分析師在正常的調(diào)查過程中對系統(tǒng)進行培訓(xùn)，并從整個平臺的擴展客戶群中收集數(shù)據(jù)以進行威脅培訓(xùn)。

CloudAI還可以配置模型以通過連續(xù)調(diào)整進行自我修復(fù)，而無需人工干預(yù)。

Vectra AI公司通過分析攻擊生命周期對這種用例采用了差異化的方法。

使用大約60種機器學(xué)習(xí)模型來分析攻擊者在攻擊生命周期中可能執(zhí)行的所有行為，其中包括遠程訪問工具、隱藏通道、后門、偵察工具，憑證濫用和過濾。

該公司聲稱，其Cognito平臺顛覆了傳統(tǒng)的基于用戶的威脅檢測方法，為防御者提供了多種機會來檢測攻擊者。

5.跨端點終止鏈的設(shè)備上檢測移動設(shè)備在企業(yè)中的興起，開啟了網(wǎng)絡(luò)安全威脅的新時代，改變了端點安全的本質(zhì)。

企業(yè)通常管理傳統(tǒng)的端點，比如筆記本電腦，而現(xiàn)在的移動“系統(tǒng)管理員”是最終用戶。

無論是員工、消費者還是黑客，都會采用下載、應(yīng)用程序、通信渠道和網(wǎng)絡(luò)交互等服務(wù)。

此外，應(yīng)用程序通常都在自己的容器中，這限制了傳統(tǒng)的補丁管理。

這種根本不同的配置意味著，攻擊者的目標(biāo)是通過提供根訪問漏洞來持久化，從而危害整個設(shè)備，同時有效地避開企業(yè)網(wǎng)絡(luò)。

因此，移動端點保護必須保護整個殺傷鏈——從仿冒應(yīng)用程序或網(wǎng)絡(luò)的釣魚嘗試到各種不同的惡意攻擊類型。

在這里，管理員將機器學(xué)習(xí)應(yīng)用于每個攻擊向量，而不是為每個攻擊向量部署不同的檢測系統(tǒng)，以便預(yù)測任何給定點交互威脅系統(tǒng)接管的可能性。

Zimperium公司是一家專門從事移動終端安全的公司，它使用機器學(xué)習(xí)在整個移動殺傷鏈中提供設(shè)備上檢測，監(jiān)控所有惡意軟件、網(wǎng)絡(luò)釣魚、設(shè)備、應(yīng)用程序和網(wǎng)絡(luò)交互。

雖然目前沒有在設(shè)備上運行機器學(xué)習(xí)模型，但Zimperium在通過基于云計算的深度學(xué)習(xí)技術(shù)派生的設(shè)備上部署了基于機器學(xué)習(xí)的檢測技術(shù)，在7000萬多臺設(shè)備上使用，它監(jiān)控來自所有惡意軟件、網(wǎng)絡(luò)釣魚、設(shè)備、應(yīng)用程序、網(wǎng)絡(luò)交互的所有矢量的匿名數(shù)據(jù)，使用云計算技術(shù)分析特定的攻擊路徑，識別來自信號的噪聲，運行測試場景，并部署分類器以改進邏輯和算法，然后應(yīng)用于設(shè)備上檢測。

這個循環(huán)對于在當(dāng)前和新的威脅類型(貫穿整個殺傷鏈)攻擊或?qū)崿F(xiàn)持久接管之前進行檢測至關(guān)重要。

6.斷開連接的環(huán)境中的主動安全性隨著數(shù)據(jù)和設(shè)備滲透到物理世界，保護和減少平均檢測和響應(yīng)時間的能力成為連接和計算能力的問題。

越來越復(fù)雜的技術(shù)基礎(chǔ)設(shè)施意味著對其運營的安全性和效率的更大需求，這些基礎(chǔ)設(shè)施可以在航空、能源、國防和海事等關(guān)鍵任務(wù)環(huán)境中實現(xiàn)數(shù)據(jù)價值。

在這些環(huán)境中，計算密集度更高的人工智能應(yīng)用程序仍處于萌芽狀態(tài)，但新技術(shù)不斷涌現(xiàn)，可以通過本地支持促進基于機器學(xué)習(xí)的腳本、文件、文檔和惡意軟件分析的安全性。

SparkCognition公司自稱是一家人工智能公司，而不是一家安全公司，該公司支持在斷開連接的環(huán)境中使用的應(yīng)用程序。

當(dāng)?shù)?11調(diào)度中心采用其應(yīng)用程序管理其托管的敏感信息。

SparkCognition公司的DeepArmor通過現(xiàn)場管理控制臺運行。

具體來說，DeepArmor使用機器學(xué)習(xí)對大約20,000個獨特文件功能進行靜態(tài)文件分析，以確定在幾秒鐘內(nèi)惡意活動的可能性。

盡管管理人員必須在這些環(huán)境中人工執(zhí)行模型更新，但DeepArmor沒有簽名要求，這意味著它不需要每日簽名掃描。

人工智能在網(wǎng)絡(luò)安全中的作用正在擴大當(dāng)然，還有其他一些規(guī)模較小的用例可用于將機器學(xué)習(xí)和深度學(xué)習(xí)應(yīng)用于網(wǎng)絡(luò)安全需求，其中包括以下內(nèi)容：大數(shù)據(jù)查詢的生成和分析威脅擴散和擴散檢測自主響應(yīng)代理合并和跨其他安全工具的部署威脅阻止自動化惡意軟件分類攻擊分類(未知、內(nèi)部、持續(xù))假陽性減少產(chǎn)品自我修復(fù)機器數(shù)據(jù)理解(超過800種不同的設(shè)備類型)加密的流量分析政策合規(guī)性分析網(wǎng)絡(luò)風(fēng)險保險增強網(wǎng)絡(luò)風(fēng)險盡職調(diào)查(合并和收購前)盡管機器學(xué)習(xí)具有很大的潛力，但它并不是靈丹妙藥，它只是一種工具。

人工智能取決于數(shù)據(jù)的質(zhì)量，而在安全性方面，這不僅僅意味著大數(shù)據(jù)，還意味著多語言的實時數(shù)據(jù)，最重要的是良好的數(shù)據(jù)。

它的成功需要安全專家和數(shù)據(jù)科學(xué)家之間的合作。

盡管有很高的營銷要求，但現(xiàn)實情況是，企業(yè)安全環(huán)境是巨大的、動態(tài)的網(wǎng)絡(luò)，管理人員必須根據(jù)持續(xù)的、不可預(yù)測的、內(nèi)部和外部的威脅向量不斷地監(jiān)視、審計和更新。

人工智能在檢測、調(diào)查和應(yīng)對威脅的能力方面引入了各種增強功能，但它是人員與技術(shù)的結(jié)合，能夠在不斷發(fā)展的安全環(huán)境中真正管理全方位的威脅。