刚刚结束的RSAC2020大会的主题是“人为因素”。业界广泛讨论了如何加强和缓解这一重要环节的脆弱性,但很多人忽视了“人为因素”。“Element”背后的隐喻:消除所有可以消除的“人为因素”,是未来网络安全最大的商机。根据MarketsandMarkets人工智能网络安全预测报告,到2026年,人工智能网络安全市场规模预计将从2019年的88亿美元增长至382亿美元,复合年增长率为23.3%(下图)。市场增长的主要驱动力是新的攻击面和攻击向量往往超过传统安全防御系统的感知范围、处理能力和响应速度,例如物联网的普及和连接设备的增加,越来越多的随着网络威胁实例的增多,人们对大数据隐私问题的关注度越来越高。此外,Wi-Fi网络的脆弱性在新出现的威胁中越来越严重。比如本期微信第二篇介绍的可以通过Wi-Fi网络进行的“智能手机超声波攻击”,以及之前安全牛报道的攻击。与此同时,人工智能在网络安全市场的潜在机会包括中小企业对基于云的安全解决方案的需求不断增长,以及越来越多地使用社交媒体来实现业务功能。微盟删库事件给所有企业CISO一个打击:人工智能永远拍不出鬼片,但人会,而且人员越重要,越容易拍出票房过10亿的大片.人工智能最大的优势就是亲戚不知道该怎么做。面对网络犯罪分子屡试不爽的社会工程攻击,人工智能员工(如呼叫中心程序或半人半人工智能的混合机器人员工)不知道如何上当。人工智能技术攻势热点如果你认为以上都是危言耸听和哗众取宠,那么让我们来看看我们的对手网络犯罪分子将如何利用人工智能技术对现有的安全防御系统进行“降维攻击”:AI/ML数据中毒攻击者试图在业务应用程序中毒化(例如,对抗性数据样本)AI/ML训练数据,以扰乱决策制定和运营。安全行业需要密切关注这些新的攻击案例。想象一下,如果一家依赖AI实现供应链自动化的公司遇到这样的攻击,会发生什么情况?受污染的数据很可能会导致产品严重供不应求或供过于求。Splunk高级副总裁兼安全市场总经理宋海燕表示:我们预计会看到使用似是而非的数据样本毒化算法的攻击。这些攻击的目的是使机器学习算法的学习过程产生偏差。这不仅仅是愚弄智能技术,而是让学习算法看起来工作正常,但会产生错误的结果。假冒音频技术带来企业邮箱入侵新征程企业邮箱入侵(BEC)是指攻击者冒充CEO或其他高级管理人员,诱骗公司银行账户负责人以完成某笔交易为名进行错误转账。交易或履行业务。BEC每年给企业造成数十亿美元的损失。如今,在人工智能技术的帮助下,BEC攻击借助假电话音频达到了新的高度。在2019年,我们看到了第一波使用虚假音频伪装成公司CEO的电话的攻击。在一个案例中,一家英国能源公司的员工被诱骗将240,000美元转入攻击者的银行账户。专家认为,2020年,利用AI技术伪造CEO假音频的BEC攻击将会更多。Illumio创始人兼首席技术官PJKirner表示:即使公司对员工进行了如何识别潜在钓鱼邮件的培训,但仍有太多员工没有准备好应对钓鱼音频,因为这些假音频听起来太可信了,而且有确实没有有效的方法来检测它。而且,即使在这种“音频网络钓鱼”攻击为人所知之后,明年我们仍会看到更多恶意黑客利用高管的声音。人工智能恶意软件躲避沙箱Deepfake音频和视频只是不法分子利用AI进行攻击的方式之一。安全研究人员需要为人工智能驱动的恶意软件规避技术鼓起勇气。一些安全专家认为,2020年可能是恶意软件使用AI模型绕过沙箱的第一年。基于人工智能技术的恶意软件可以提高隐蔽性和针对性,绕过主流检测技术。例如,IBM的AI恶意软件概念验证工具DeepLo??cker能够使用公开可用的数据从网络安全工具中隐藏自己并处于休眠状态,直到它击中预定目标。一旦通过面部或语音识别检测到目标,就会执行恶意负载。BlueHexagon的CTOSaumitraDas预测,恶意软件作者将放弃使用规则来确定“特征”和“过程”是否表明样本在沙箱中的做法,而是使用AI来判断,有效地创建可以识别的文件。得到更准确的分析。自身环境中的恶意软件决定了它是否在沙箱中运行,从而增加了沙箱规避的有效性。生物识别的猫捉老鼠游戏随着人工智能和生物识别技术被用于验证客户身份,金融服务行业将出现一场猫捉老鼠的欺诈游戏。金融机构正在快速迭代身份验证机制,利用人脸识别和人工智能对手机摄像头和身份证件生成的在线身份进行扫描、分析和确认。但他们需要保持警惕,因为不良行为者还可以使用AI来创建深度伪造的ID来愚弄这些生物识别验证系统。Jumio总裁RobertPrigge表示:2020年,我们将看到deepfake技术的武器化程度增加,随着生物识别认证解决方案的广泛采用,该技术将被恶意黑客滥用。差分隐私在分析数据保护领域引起了人们的关注。大数据、人工智能和严格的隐私监管三管齐下。这让企业和公司都头疼不已,迫使安全和隐私从业者开发更好的隐私保护方法来阻止当今众多的人工智能应用。对数据中的敏感信息进行有效的客户分析。好消息是我们也可以用其他形式的人工智能来做到这一点。Avast人工智能总监RajarshiGupta表示:2020年,我们将看到AI算法的实际应用,包括在数据集中共享模式描述同时隐藏个人信息的差分隐私系统。古普塔认为,差异隐私将使公司能够像今天一样从大数据洞察力中获益,而不会暴露客户和其他个人的私人信息。AI伦理和公平方面的惨痛教训AI伦理、公平和影响方面的惨痛教训就在眼前。这些都是安全主管应该认真对待的问题。他们必须保护依赖人工智能运行的系统的完整性和可用性。博思艾伦咨询公司网络安全战略总监、RSA会议咨询委员会成员ToddInskeep表示:明年AI在网络安全中的应用会给我们带来很多新的经验教训。最近AppleCard为男女设置不同信用额度的案例凸显了一个事实,即我们并不真正了解AI算法的机制。我们会发现一些AI听话违约或者磨洋工的案例。防御性人工智能安全技术热点凯捷研究院对850名企业高管的调查发现,2019年五分之一的公司使用了人工智能网络安全技术,多达三分之二的公司表示该技术被全面应用于威胁发现、预测和响应。超过70%的组织目前正在测试AI网络安全用例,涵盖从欺诈和入侵检测到风险评分和用户/机器行为分析(UEBA)的方方面面。不同领域的需求热度分布如下:凯捷的研究结果与本文开头引用的预测数据相呼应——2019年人工智能网络安全市场价值已达88亿美元,并将突破380亿美元美元在2026年。很明显,企业界和网络安全行业都相信人工智能的价值。最初,人工智能在安全防御领域的应用是一些相对简单的场景(如邮件垃圾邮件过滤),从2020年开始,人工智能技术将扩展到网络安全团队的所有职能和部门,从钓鱼、恶意软件到电子邮件安全、反欺诈、行为分析和APT防御。人工智能技术的关键是数据,这意味着企业越早“挖水蓄水”,其人工智能防御系统积累的可用数据就越多,安全防御能力就越强。例如,每封网络钓鱼电子邮件都会留下大量数据。机器学习算法可以收集和分析这些数据,通过检查已知的恶意标记来计算潜在有害电子邮件的风险。由于计算机视觉中的机器学习,分析级别还可以扩展到扫描电子邮件文本中的附件和URL,甚至可以检测伪装成合法站点的网络钓鱼站点。类似的机器学习模型也可以应用于其他常见威胁,例如恶意软件。恶意软件会随着时间的推移而增长和演变,并且通常会在组织发现之前造成相当大的损害。采用AI技术的网络安全防御可以依靠以前类似攻击的数据和经验来预测和防止其传播,从而更快地应对此类威胁。随着技术的不断发展,它在网络安全防御中的普及程度也会不断提高。报告认为,人工智能安全技术在以下领域最具潜力:欺诈检测、用户/机器行为分析、风险评分、入侵检测和恶意软件检测是现阶段人工智能安全技术商业化潜力较高的应用(高收入),低复杂性)。最后,我们需要记住:人工智能最大的优势在于它的速度。机器学习算法可以快速应用复杂的模式识别技术来发现和阻止攻击,部署和响应速度比任何人都快。
