在现代IT环境中,网络威胁日益突出。人们需要探索人工智能在网络安全及其产品中最常见的六种角色。越来越多的企业正在采用人工智能技术来帮助他们在现代IT环境中进行安全工作。数据、设备、处理能力、算法和网络系统(21世纪任何企业的宝贵资产)的指数级增长也带来了新的风险和漏洞。根据研究机构Gartner2018年12月发布的报告,数据安全、基础设施保护和云安全是安全支出增长最快的领域,预计2019年全球企业将在网络安全风险管理上支出约1370元.一亿美元。面对这一现实,许多组织已经意识到反应性措施是不够的;他们不仅必须扩展和自动化威胁响应计划,还必须制定主动措施。人工智能功能由一系列技术提供支持,例如机器学习、深度学习、计算机视觉和自然语言处理,以检测模式并进行推理。在网络安全领域,人工智能在网络安全中的作用是识别用户、数据、设备、系统和网络行为模式,区分异常和正常。它还可以帮助管理员分析大量数据,调查新型威胁,并更快地响应和响应威胁。以下是基于KaleidoInsights对网络安全市场和供应商的研究和分析的六个常见用例,其中一些正在为下一代网络安全产品铺平道路。1.安全分析师和增强型安全运营中心(SOC)AI在网络安全中最常见的用例之一是支持分析师。毕竟,人工智能不太可能取代经验丰富的安全分析师。在机器擅长的领域,例如,分析大数据、消除人类疲劳并将它们从繁琐的任务中解放出来,这样它们就可以增强人们更复杂的技能,如创造力、细微差别和专业知识。在某些情况下,分析师扩充涉及将预测分析纳入安全运营中心(SOC)工作流程以对大型数据集进行分类或查询。Darktrace的Cyber??AIAnalyst是一个通过只显示高优先级事件来支持分析师的软件程序。同时,它查询海量数据并收集整个网络骨干网的调查背景,进行调查并整理出低优先级的案件。通过分析Darktrace的分析师如何调查警报,在跨越数千个部署开发的数据集上进行训练,Cyber??AIAnalyst使用各种机器学习、深度学习和数学技术来处理n维数据,以生成数千个查询并调查所有并行威胁.2.新的攻击识别虽然恶意软件或其他类型的威胁检测已经存在多年,通常是通过将可疑代码与基于签名的系统进行匹配,但人工智能现在正在将该技术转向推理以预测新型攻击。通过分析大量数据、事件类型、来源和结果,人工智能技术能够识别新形式和类型的攻击。这一点很关键,因为攻击技术与其他技术一起发展。FireEye在其MalwareGuard产品中提供了一个新的攻击识别示例。它使用机器学习算法来发现尚未创建或尚不存在签名的新的、变形的或高级的攻击。其引擎利用私有和公共数据源,包括大约1700万个部署的端点安全代理、基于超过100万个攻击响应小时的攻击分析,以及通过全球多语言安全分析网络收集的情报。3.行为分析和风险评分行为分析技术已经在广告等不太重要的领域处于领先地位,现在正转向身份认证和反欺诈的关键用例。在这里,人工智能算法挖掘海量的用户和设备行为模式、地理位置、登录参数、传感器数据和海量数据集,以获取用户的真实身份。Mastercard的NuDataSecurity是一个平台,它利用多因素大数据分析来评估风险并为端点和用户安全开发每个事件的动态配置文件。该公司使用机器和深度学习来分析四个方面:行为数据:浏览器类型、流量变化、浏览速度和页面停留时间。被动生物识别:用户的打字速度、设备角度、击键和压力。设备智能:特定设备的已知连接和新连接、位置以及网络交互。行为信任联盟:Mastercard的大数据存储库,可分析人口层面的数十亿个数据点。4.基于用户的威胁检测从内部威胁到特权滥用和行政滥用再到黑客,人类是重要且多样化的网络风险载体。因此,出现了人工智能技术来检测用户在IT环境中交互方式的变化,并表征他们在攻击环境中的行为。LogRhythm正在使用其下一代SIEM平台CloudAI进行基于用户的威胁检测。具体而言,该公司将不同的用户账户(VPN、工作邮箱、个人云存储)和关联标识符(如用户名和电子邮件地址)映射到实际用户身份,以建立全面的行为基线和用户配置文件。此外,CloudAI旨在随着时间的推移而发展,以检测当前和未来的威胁。分析师在正常调查过程中训练系统,并从整个平台的扩展客户群收集数据以进行威胁训练。CloudAI还可以将模型配置为通过持续调整进行自我修复,无需人工干预。VectraAI通过分析攻击生命周期对此用例采取差异化方法。使用大约60种机器学习模型来分析攻击者在攻击生命周期中可能做的一切,包括远程访问工具、隐藏通道、后门、侦察工具、凭证滥用和过滤。该公司声称其Cognito平台颠覆了传统的基于用户的威胁检测方法,为防御者提供了检测攻击者的多种机会。5.跨端点终端链的设备上检测企业中移动设备的兴??起开创了网络安全威胁的新时代,改变了端点安全的本质。虽然企业通常管理传统端点,例如笔记本电脑,但今天的移动“系统管理员”是最终用户。无论是员工、消费者还是黑客,都会使用下载、应用程序、通信渠道和网络交互等服务。此外,应用程序通常位于自己的容器中,这限制了传统的补丁管理。这种根本不同的配置意味着攻击者旨在通过提供持久性的根访问漏洞来破坏整个设备,同时有效地避开公司网络。因此,移动端点保护必须保护整个杀伤链——从冒充应用程序或网络的网络钓鱼尝试到各种不同的恶意攻击类型。在这里,管理员不是为每个攻击向量部署不同的检测系统,而是将机器学习应用于每个攻击向量,以预测威胁系统在任何给定交互点接管的可能性。Zimperium是一家专注于移动端点安全的公司,它使用机器学习在整个移动杀伤链中提供设备上检测,监控所有恶意软件、网络钓鱼、设备、应用程序和网络交互。虽然目前没有在设备上运行机器学习模型,但Zimperium在通过基于云的深度学习技术派生的设备上部署了基于机器学习的检测技术,在超过7000万台设备上使用,它监控来自所有设备的恶意软件、网络钓鱼、设备、应用程序,匿名数据的所有向量的网络交互,使用云计算技术分析特定的攻击路径,从信号中识别噪声,运行测试场景,并部署分类器以改进逻辑和算法,然后在设备上应用检测。这个循环对于在攻击或实现持续接管之前检测当前和新的威胁类型(整个杀伤链)至关重要。6.断开连接环境中的主动安全性随着数据和设备渗透到物理世界,保护和减少平均检测和响应时间的能力成为连接性和计算能力的问题。在航空、能源、国防和海事等关键任务环境中,从数据中获取价值的技术基础设施日益复杂,这意味着对其运营的安全性和效率提出了更高的要求。在这些环境中,更多的计算密集型AI应用程序仍处于萌芽状态,但新技术正在涌现,这些新技术可以通过本机支持促进基于机器学习的脚本、文件、文档和恶意软件分析的安全性。自称为人工智能公司而非安全公司的SparkCognition支持在断开连接的环境中使用的应用程序。本地911调度中心使用其应用程序来管理其托管的敏感信息。SparkCognition的DeepArmor通过现场管理控制台运行。具体来说,DeepArmor使用机器学习对大约20,000个独特的文件特征执行静态文件分析,以在几秒钟内确定恶意活动的可能性。尽管管理员必须在这些环境中手动执行模型更新,但DeepArmor没有签名要求,这意味着它不需要每天进行签名扫描。人工智能在网络安全中的作用正在扩大当然,还有其他较小规模的用例将机器学习和深度学习应用于网络安全需求,包括:大数据查询的生成和分析威胁扩散和扩散检测自主响应代理跨其他安全工具整合和部署威胁拦截自动化恶意软件分类攻击分类(未知、内部、持久)误报减少产品自愈机器数据理解(超过800种不同的设备类型)加密流量分析策略合规性分析网络风险保险增强网络风险尽职调查(并购前)尽管潜力巨大,但机器学习并不是万能的,它只是一种工具。人工智能依赖于数据的质量,而说到安全,这不仅仅是大数据,而是多语言的实时数据,最重要的是好的数据。它的成功需要安全专家和数据科学家之间的合作。尽管市场宣传很高,但实际情况是企业安全环境是庞大的动态网络,管理人员必须根据持续的、不可预测的内部和外部威胁向量不断监控、审计和更新。AI在检测、调查和响应威胁的能力方面引入了各种增强功能,但只有人与技术的结合才能真正管理不断变化的安全环境中的各种威胁。
