早在撥號(hào)互聯(lián)網(wǎng)時(shí)代之前，當(dāng)病毒通過受感染的軟盤傳播時(shí)，網(wǎng)絡(luò)安全就一直很重要。對(duì)手與 IT 專業(yè)人員之間的戰(zhàn)斗不斷升級(jí)。攻擊者會(huì)創(chuàng)建新的和不同類型的惡意軟件或攻擊，IT 團(tuán)隊(duì)部署新的或改進(jìn)的防御類型來保護(hù)他們不斷增長(zhǎng)的數(shù)據(jù)庫(kù)存。

在最新一輪的信息安全 (InfoSec) 攻擊中，攻擊者正在通過新的載體部署新型威脅，并利用人工智能的力量增強(qiáng)這些攻擊。切實(shí)應(yīng)對(duì)這些攻擊的唯一方法是在網(wǎng)絡(luò)安全防御中部署人工智能的力量。

網(wǎng)絡(luò)安全威脅一直在增長(zhǎng)

攻擊面正在增長(zhǎng)。在“過去”，計(jì)算機(jī)獨(dú)立運(yùn)行或使用封閉網(wǎng)絡(luò)與其他幾臺(tái)機(jī)器相連。然后是局域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)接入。現(xiàn)在，一半的應(yīng)用程序在云中運(yùn)行，一半(或可能全部)用戶在家工作并使用移動(dòng)設(shè)備訪問網(wǎng)絡(luò)。通過首先入侵用戶的筆記本電腦或手機(jī)或入侵基于云的應(yīng)用程序?qū)嵗@為攻擊者提供了更多潛在的網(wǎng)絡(luò)入口點(diǎn)。供應(yīng)鏈攻擊構(gòu)成了另一種威脅，其中來自受信任供應(yīng)商的軟件也可能包含嵌入式惡意軟件。然后，攻擊者使用受感染的應(yīng)用程序或設(shè)備作為灘頭陣地來入侵網(wǎng)絡(luò)的其余部分。

數(shù)據(jù)呈指數(shù)級(jí)增長(zhǎng)，這已不是新聞，但現(xiàn)在 IT 有望保護(hù)大部分或全部數(shù)據(jù)。在舊的安全模型中，InfoSec 只需要篩選程序和其他可執(zhí)行文件，例如啟用宏的文檔或電子表格，以確保它們沒有攜帶惡意軟件。這可能是數(shù)據(jù)的 5% 到 10%。但如今，即使是不可執(zhí)行的數(shù)據(jù)也需要受到保護(hù)，免遭勒索軟件和盜竊的侵害——您需要 100% 地保護(hù)這些數(shù)據(jù)。分布式應(yīng)用程序架構(gòu)和混合云使服務(wù)器之間所需的通信量成倍增加，而網(wǎng)絡(luò)速度在過去 25 年中增加了 2,000 倍(從 1995 年的 100Mb 以太網(wǎng)到 2020 年的 200Gb 以太網(wǎng))。更多的數(shù)據(jù)在網(wǎng)絡(luò)上的移動(dòng)速度比以往任何時(shí)候都快。需要保護(hù)的數(shù)據(jù)呈指數(shù)級(jí)增長(zhǎng)，需要篩選和分析的流量呈指數(shù)級(jí)增長(zhǎng)。

法規(guī)遵從性增加了對(duì)保護(hù)什么和如何保護(hù)的要求，從而進(jìn)一步增加了信息安全的負(fù)擔(dān)。必須執(zhí)行額外的數(shù)據(jù)加密、訪問控制、隱私保護(hù)、身份驗(yàn)證方法和報(bào)告，具體取決于哪些法規(guī)會(huì)影響您的組織。網(wǎng)絡(luò)安全專業(yè)人員現(xiàn)在必須實(shí)施他們認(rèn)為必要的保護(hù)措施和法律要求的額外保護(hù)措施，如果遭到黑客攻擊，他們將面臨處罰或披露要求。

對(duì)手很快就會(huì)使用人工智能來加強(qiáng)他們的攻擊——如果他們還沒有的話。研究人員已經(jīng)展示了人工智能如何定制網(wǎng)絡(luò)釣魚攻擊以使其更有效或創(chuàng)建模仿名人或聽起來完全像你老板的“深度偽造”聲音。域生成算法會(huì)自動(dòng)生成可以傳播惡意軟件的新 URL，而不會(huì)被基于 DNS 的安全網(wǎng)關(guān)列入黑名單。僵尸網(wǎng)絡(luò)已經(jīng)使用簡(jiǎn)單的人工智能概念來尋找最脆弱的機(jī)器并解決網(wǎng)絡(luò)防御問題。較新的病毒已經(jīng)改變了它們自己的代碼，反復(fù)更改它們的位置，甚至禁用或修改受感染機(jī)器上的反惡意軟件以避免檢測(cè)。這些都是用于增強(qiáng)網(wǎng)絡(luò)攻擊的基本或簡(jiǎn)單人工智能的例子。

為應(yīng)對(duì)威脅風(fēng)暴的挑戰(zhàn)，IT 安全專業(yè)人員嚴(yán)重短缺。根據(jù)美國(guó)商務(wù)部撥款最近進(jìn)行的一項(xiàng)研究，全國(guó)約有 950,000 人從事網(wǎng)絡(luò)安全工作，但有超過 450,000 個(gè)網(wǎng)絡(luò)安全職位空缺。因此，您不能通過自己的方式進(jìn)入安全性和合規(guī)性。

為什么需要人工智能

人工智能可以在五個(gè)領(lǐng)域幫助檢測(cè)和預(yù)防發(fā)生的安全威脅：

1) 比人類篩選更多的數(shù)據(jù)

需要檢查的數(shù)據(jù)量是巨大的，并且變得超出任何人，甚至是團(tuán)隊(duì)可以合理篩選的范圍。人類信息安全調(diào)查通常僅在確認(rèn)或至少懷疑違規(guī)后才會(huì)進(jìn)行。當(dāng)威脅更加有限時(shí)，少數(shù)人可以合理地對(duì)所有防病毒和防火墻警報(bào)做出反應(yīng)，并有信心應(yīng)對(duì)大多數(shù)安全威脅。但是現(xiàn)在，所有服務(wù)器上的所有數(shù)據(jù)和每個(gè)網(wǎng)絡(luò)連接上的所有流量都可能受到懷疑，可信用戶與通過VPN連接的不可信用戶混在一起、Web 應(yīng)用程序網(wǎng)關(guān)和基于云的應(yīng)用程序。使用傳統(tǒng)日志記錄或遙測(cè)工具的人每天最多只能采樣幾 GB 的數(shù)據(jù)，但基于 AI 的網(wǎng)絡(luò)安全每天可以審查和分析 TB 級(jí)的數(shù)據(jù)，以檢測(cè)惡意軟件、黑客攻擊、數(shù)據(jù)泄露或成功或正在進(jìn)行的證據(jù)攻擊。

2) 捕捉可疑行為，而不僅僅是可疑位

老派的威脅以固定的、可識(shí)別的形式出現(xiàn)，一旦被釋放到野外就不會(huì)改變。絕大多數(shù)組織只要定期更新其安全軟件簽名，就會(huì)受到保護(hù)。現(xiàn)在，高級(jí)惡意軟件會(huì)自我修改，黑客的工具包讓不法分子每天甚至每小時(shí)創(chuàng)建新的惡意軟件。新的漏洞利用和病毒通常會(huì)在安全公司分發(fā)更新的簽名之前攻擊數(shù)據(jù)中心。這些零日攻擊以前從未出現(xiàn)過，因此它們不會(huì)出現(xiàn)在任何威脅數(shù)據(jù)庫(kù)中。人工智能驅(qū)動(dòng)的安全性可以通過發(fā)現(xiàn)可疑行為而不是僅掃描已知簽名來檢測(cè)這些威脅。可以訓(xùn)練 AI 識(shí)別可疑的應(yīng)用程序行為或流量模式以檢測(cè)新的攻擊，即使特定攻擊以前從未見過。

3) 識(shí)別應(yīng)用程序和網(wǎng)絡(luò)中的錯(cuò)誤、漏洞和錯(cuò)誤

AI 有能力通過發(fā)現(xiàn)和解決惡意軟件和泄露敏感數(shù)據(jù)之外的問題來提高安全性。它可以掃描應(yīng)用程序、服務(wù)器和網(wǎng)絡(luò)日志以識(shí)別錯(cuò)誤配置、過時(shí)的軟件或不正確的設(shè)置。AI 還可以在部署之前掃描應(yīng)用程序代碼或在流片之前掃描芯片設(shè)計(jì)，以幫助在產(chǎn)品投入使用之前發(fā)現(xiàn)漏洞。這些用途不會(huì)發(fā)現(xiàn)威脅或病毒，但會(huì)消除系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)漏洞，從而降低黑客攻擊成功的可能性。

4) 識(shí)別充當(dāng)人類的機(jī)器和充當(dāng)機(jī)器的人類。

用戶對(duì)自己進(jìn)行身份驗(yàn)證以訪問應(yīng)用程序，各種應(yīng)用程序、Web、數(shù)據(jù)庫(kù)和中間件服務(wù)器也對(duì)其他機(jī)器進(jìn)行身份驗(yàn)證以共享數(shù)據(jù)。但是，如果僵尸網(wǎng)絡(luò)學(xué)會(huì)模仿人類員工的行為，會(huì)發(fā)生什么?如果對(duì)手假裝是受信任的服務(wù)器怎么辦?人工智能驅(qū)動(dòng)的安全學(xué)習(xí)正常的流量和數(shù)據(jù)訪問模式，并可以快速檢測(cè)機(jī)器是否在冒充合法用戶(機(jī)器為人)。它還可以檢測(cè)攻擊者何時(shí)冒充受信任的機(jī)器來訪問敏感數(shù)據(jù)(人即機(jī)器)。

5) 識(shí)別前所未見或零日威脅

傳統(tǒng)的安全軟件引用了一個(gè)已知惡意軟件簽名的數(shù)據(jù)庫(kù)，這些簽名應(yīng)該被阻止進(jìn)入數(shù)據(jù)中心。今天的問題是惡意軟件簽名的數(shù)據(jù)庫(kù)，敏感信息無法快速更新以跟上新的惡意軟件創(chuàng)建或自我修改的惡意軟件。同樣，要防止泄露到組織外的敏感數(shù)據(jù)的固定列表將始終過時(shí)。人工智能驅(qū)動(dòng)的安全性可以通過識(shí)別可疑的行為模式或網(wǎng)絡(luò)流量來識(shí)別零日攻擊，而無需依賴固定的簽名數(shù)據(jù)庫(kù)。人工智能可以識(shí)別敏感信息的類別或類型，而不是只注意到與嚴(yán)格的預(yù)定義列表匹配的信息。

隨著數(shù)據(jù)量、攻擊面和威脅數(shù)量的不斷增長(zhǎng)，人工智能技術(shù)是唯一合理的應(yīng)對(duì)措施。人工智能驅(qū)動(dòng)的數(shù)據(jù)科學(xué)提供了覆蓋所有相關(guān)機(jī)器和網(wǎng)絡(luò)流量的規(guī)模，以及識(shí)別信息安全團(tuán)隊(duì)及其軟件工具以前從未見過的許多新威脅和漏洞的適應(yīng)性。