為什麼現代網路安全需要人工智慧

視覺計算發表於2021-12-01

早在撥號網際網路時代之前,當病毒透過受感染的軟盤傳播時,網路安全就一直很重要。對手與 IT 專業人員之間的戰鬥不斷升級。攻擊者會建立新的和不同型別的惡意軟體或攻擊,IT 團隊部署新的或改進的防禦型別來保護他們不斷增長的資料庫存。

在最新一輪的資訊保安 (InfoSec) 攻擊中,攻擊者正在透過新的載體部署新型威脅,並利用人工智慧的力量增強這些攻擊。切實應對這些攻擊的唯一方法是在網路安全防禦中部署人工智慧的力量。

網路安全威脅一直在增長

攻擊面正在增長。在“過去”,計算機獨立執行或使用封閉網路與其他幾臺機器相連。然後是區域網、廣域網和網際網路接入。現在,一半的應用程式在雲中執行,一半(或可能全部)使用者在家工作並使用移動裝置訪問網路。透過首先入侵使用者的膝上型電腦或手機或入侵基於雲的應用程式例項,這為攻擊者提供了更多潛在的網路入口點。供應鏈攻擊構成了另一種威脅,其中來自受信任供應商的軟體也可能包含嵌入式惡意軟體。然後,攻擊者使用受感染的應用程式或裝置作為灘頭陣地來入侵網路的其餘部分。

資料呈指數級增長,這已不是新聞,但現在 IT 有望保護大部分或全部資料。在舊的安全模型中,InfoSec 只需要篩選程式和其他可執行檔案,例如啟用宏的文件或電子表格,以確保它們沒有攜帶惡意軟體。這可能是資料的 5% 到 10%。但如今,即使是不可執行的資料也需要受到保護,免遭勒索軟體和盜竊的侵害——您需要 100% 地保護這些資料。分散式應用程式架構和混合雲使伺服器之間所需的通訊量成倍增加,而網路速度在過去 25 年中增加了 2,000 倍(從 1995 年的 100Mb 乙太網到 2020 年的 200Gb 乙太網)。更多的資料在網路上的移動速度比以往任何時候都快。需要保護的資料呈指數級增長,需要篩選和分析的流量呈指數級增長。

法規遵從性增加了對保護什麼和如何保護的要求,從而進一步增加了資訊保安的負擔。必須執行額外的資料加密、訪問控制、隱私保護、身份驗證方法和報告,具體取決於哪些法規會影響您的組織。網路安全專業人員現在必須實施他們認為必要的保護措施和法律要求的額外保護措施,如果遭到駭客攻擊,他們將面臨處罰或披露要求。

對手很快就會使用人工智慧來加強他們的攻擊——如果他們還沒有的話。研究人員已經展示了人工智慧如何定製網路釣魚攻擊以使其更有效或建立模仿名人或聽起來完全像你老闆的“深度偽造”聲音。域生成演算法會自動生成可以傳播惡意軟體的新 URL,而不會被基於 DNS 的安全閘道器列入黑名單。殭屍網路已經使用簡單的人工智慧概念來尋找最脆弱的機器並解決網路防禦問題。較新的病毒已經改變了它們自己的程式碼,反覆更改它們的位置,甚至禁用或修改受感染機器上的反惡意軟體以避免檢測。這些都是用於增強網路攻擊的基本或簡單人工智慧的例子。

為應對威脅風暴的挑戰,IT 安全專業人員嚴重短缺。根據美國商務部撥款最近進行的一項研究,全國約有 950,000 人從事網路安全工作,但有超過 450,000 個網路安全職位空缺。因此,您不能透過自己的方式進入安全性和合規性。

為什麼需要人工智慧

人工智慧可以在五個領域幫助檢測和預防發生的安全威脅:

1) 比人類篩選更多的資料

需要檢查的資料量是巨大的,並且變得超出任何人,甚至是團隊可以合理篩選的範圍。人類資訊保安調查通常僅在確認或至少懷疑違規後才會進行。當威脅更加有限時,少數人可以合理地對所有防病毒和防火牆警報做出反應,並有信心應對大多數安全威脅。但是現在,所有伺服器上的所有資料和每個網路連線上的所有流量都可能受到懷疑,可信使用者與透過VPN連線的不可信使用者混在一起、Web 應用程式閘道器和基於雲的應用程式。使用傳統日誌記錄或遙測工具的人每天最多隻能取樣幾 GB 的資料,但基於 AI 的網路安全每天可以審查和分析 TB 級的資料,以檢測惡意軟體、駭客攻擊、資料洩露或成功或正在進行的證據攻擊。

2) 捕捉可疑行為,而不僅僅是可疑位

老派的威脅以固定的、可識別的形式出現,一旦被釋放到野外就不會改變。絕大多陣列織只要定期更新其安全軟體簽名,就會受到保護。現在,高階惡意軟體會自我修改,駭客的工具包讓不法分子每天甚至每小時建立新的惡意軟體。新的漏洞利用和病毒通常會在安全公司分發更新的簽名之前攻擊資料中心。這些零日攻擊以前從未出現過,因此它們不會出現在任何威脅資料庫中。人工智慧驅動的安全性可以透過發現可疑行為而不是僅掃描已知簽名來檢測這些威脅。可以訓練 AI 識別可疑的應用程式行為或流量模式以檢測新的攻擊,即使特定攻擊以前從未見過。

3) 識別應用程式和網路中的錯誤、漏洞和錯誤

AI 有能力透過發現和解決惡意軟體和洩露敏感資料之外的問題來提高安全性。它可以掃描應用程式、伺服器和網路日誌以識別錯誤配置、過時的軟體或不正確的設定。AI 還可以在部署之前掃描應用程式程式碼或在流片之前掃描晶片設計,以幫助在產品投入使用之前發現漏洞。這些用途不會發現威脅或病毒,但會消除系統、應用程式和網路漏洞,從而降低駭客攻擊成功的可能性。

4) 識別充當人類的機器和充當機器的人類。

使用者對自己進行身份驗證以訪問應用程式,各種應用程式、Web、資料庫和中介軟體伺服器也對其他機器進行身份驗證以共享資料。但是,如果殭屍網路學會模仿人類員工的行為,會發生什麼?如果對手假裝是受信任的伺服器怎麼辦?人工智慧驅動的安全學習正常的流量和資料訪問模式,並可以快速檢測機器是否在冒充合法使用者(機器為人)。它還可以檢測攻擊者何時冒充受信任的機器來訪問敏感資料(人即機器)。

5) 識別前所未見或零日威脅

傳統的安全軟體引用了一個已知惡意軟體簽名的資料庫,這些簽名應該被阻止進入資料中心。今天的問題是惡意軟體簽名的資料庫,敏感資訊無法快速更新以跟上新的惡意軟體建立或自我修改的惡意軟體。同樣,要防止洩露到組織外的敏感資料的固定列表將始終過時。人工智慧驅動的安全性可以透過識別可疑的行為模式或網路流量來識別零日攻擊,而無需依賴固定的簽名資料庫。人工智慧可以識別敏感資訊的類別或型別,而不是隻注意到與嚴格的預定義列表匹配的資訊。

隨著資料量、攻擊面和威脅數量的不斷增長,人工智慧技術是唯一合理的應對措施。人工智慧驅動的資料科學提供了覆蓋所有相關機器和網路流量的規模,以及識別資訊保安團隊及其軟體工具以前從未見過的許多新威脅和漏洞的適應性。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69956605/viewspace-2845043/,如需轉載,請註明出處,否則將追究法律責任。

相關文章