网络安全自动化

为了抵御不断扩大的威胁面,机器学习已经来到防御一线。

网络风险日益狡猾复杂,背后的犯罪者却逍遥法外。为了占得上风,CISO 需要一种有效方法超越危险分子所使用的机制,

而信息自动生成的惊人速度更加剧了此挑战。传感器、位置跟踪器、网络摄像头、智能自动售货机等机器和其他类型的设备都利用自动化来创建海量数据,而我们需要对这些数据加以保护。同时,我们的数字互动也越来越自动化。我们可以触摸屏幕或使用语音命令来触发数据访问,并且在同一设备中创建、处理和存储新数据。

简而言之,大量数据自动生成,但多数组织仍在使用过时的安全产品对其进行保护。这些产品依赖人力来关联和过滤来自各种独立系统的海量警报,以便能够做出重大风险决策。此过程无法进行扩展,使得组织越来越容易受到攻击。而当手动系统不能很好地扩展或集成时,安全的盔甲就出现了弱点,招致恶意软件溜过,而导致代价高昂的泄露。

利用自动化对抗自动化

在瞻博网络,我们认为对数据量不断增长的公司,有效保护应得到自动化的推动。事实上,我们将安全视为网络行业对自动化的一种最佳用途。这是因为阻止威胁最有效的方式是尽快将其从未知威胁转换为已知威胁,再转换为众所周知的威胁。自动化在快速实现此目的上起着关键作用。

机器学习可实现该自动化,是一种获取人工智能 (AI)(由机器来呈现人类智能)的方法,其使用算法从数据中学习,并做出决策和预测。机器学习算法需要学习大量数据,才能提供准确输出。系统的数据有多丰富,将决定您能够在造成任何损坏之前阻止安全事件的可能性有多大。

我们主张,网络安全措施至少与自动化机器学习一起增强。这是为什么呢?到 2020 年1,网络犯罪可能会造成 2 万亿美元的损失。即使人类能够跟上数据量和风险的增长步伐,仍缺乏能够处理它们的人才。到 2019 年2,由于缺乏技能组合,近 150 万安全操作工作将无法完成。Enterprise Strategy Group 表明,45% 的组织报告当今网络安全技能短缺问题,比 IT 行业内任何其他领域 3 都更多。

此外,许多组织采用独立安全产品进行不同类型的保护,然后设法管理通常无法相互集成的单点产品。因此,工作重心更多地被放在管理多个安全产品上,而非实际保护组织或积极准备应对下一个攻击上。

快速识别并阻止恶意活动所需的宝贵信息已在通过网络中的遥测收集。要有效保护我们的现有人员、数据和基础架构,需要借助能够快速识别异常行为和在造成损坏之前自动创建对策的智能来增强安全解决方案。

智胜恶意软件

传统防病毒程序广泛用于检测并消除已发现且具有已知签名的威胁。然而,许多受害的公司运行的恰恰就是最新的防病毒系统。但显然,防病毒程序并未完成抵御目前围绕我们的复杂漏洞的任务,而许多组织仍然在其已然复杂的安全环境中部署了高级恶意软件防御产品。

我们的观点是,克服一波爆炸式网络犯罪需要充分利用网络安全解决方案中的机器学习功能。机器学习使用算法来分析数据、学习,然后进行预测。作为 AI 的“狭义”形式,机器学习可大规模运行,以同时快速处理和关联数百万变量,学习哪些是网络流量模式和使用情况中的常态,哪些不是。机器学习到的内容可用于识别恶意行为和阻止即将发生的攻击。然后,机器学习通过预测网络犯罪分子的下一步行动,确保更好地为我们配备赢得这场战争所需的武器。

以勒索软件为例,如 WannaCry。多数勒索软件对组织数据进行加密或以其他方式损坏组织数据(绑架它用于网络支付),比任何人的速度都更快。由机器学习增强的高级恶意软件防御解决方案可以分析流量,查找携带勒索软件的漏洞,引诱勒索软件自我暴露,将内容标记为恶意,遏制它,然后对未来流量运用这种学习以确定威胁级别。

这并不是说传统安全产品就无一席之地。它们强力过滤试图进入网络的所有已知恶意流量,它们仍然是打击网络犯罪的重要组成部分。我们信赖在各种在云中作为一个系统协同工作的新工具和现有工具上部署机器学习,这样在新威胁出现时,能够以高度可扩展的方式快速更改和更新这些工具。

集成是一切的核心。

跨安全解决方案中的所有威胁防御产品集成机器学习是关键所在。此类解决方案将持续动态地学习如何识别软件结构、软件行为和网络流量模式中的正常行为。它们一次可分析数百万个变量和数据点,从而标记可能表明即将发生攻击的异常行为。

我们提倡将传统签名和基于规则的检测与机器学习相结合,以拦截已知威胁以及未知和仍未检测到的恶意软件。为此,将恶意软件签名的静态分析和动态分析相结合以识别新威胁可实现快速精确的保护。我们建议在云端部署这些解决方案,充分利用此处统一的强大计算能力,这样机器学习模式也可快速更新、保留并应用于不断变化的威胁情况。如此一来,网络安全解决方案即可在新威胁被整个行业广泛识别或分析之前,快速检测和阻止这些威胁。

机器学习并未完全消除人工判断的需要。但是,它可将经验丰富的安全分析师的知识扩展到更大领域的数据规模和风险,并且可与其他安全流程相集成,允许每个流程在数据量和分析复杂性随时间推移而增加时相应地扩展。

1 资料来源:福布斯,2016 年 1 月 17 日。
2 资料来源:CSO 杂志,2015 年 7 月 28 日。
3 资料来源: http://www.esg-global.com/blog/cybersecurity-skills-shortage-impact-on-technology-innovation