单纯的反恶意软件或登录审核等传统网络安全工具在2020年还不够用-需要额外的资源来保护组织及其员工免受网络威胁。人工智能(AI)和机器学习(ML)正在网络安全领域取得丰硕成果。
我与AI解决方案提供商Fusemachines的技术副总裁Anish Joshi以及机器数据分析组织Sumo Logic的安全业务部门总经理Greg Martin进行了交谈,以征询他们的意见。采访已被轻松编辑。
Scott Matteson:网络安全的常见痛点是什么?
Anish Joshi:应用程序中的安全风险在数量和复杂性上都在不断增长。
随着诸如Web,移动甚至物联网(loT)之类的技术的出现,应用程序已遍及个人和专业生活,因为它们将技术用于各种不同的目的,从而有可能增加其破坏的范围。可能没有组织没有自己的应用程序。但是,由于缺乏熟练的技术人员之类的问题,容易受到威胁的应用程序数量猛增,而这些人员的专业知识是构建和保护此类软件所必需的。还存在通过外包降低应用程序开发成本的趋势,从而导致了低质量软件的创建。
一个更可怕的事实是,缺乏资源来解决此类问题的初创公司忽视了应用程序的安全性和隐私权,并且常常在残酷的环境中被激烈的竞争所困扰。
归结为没有深入的网络安全策略。随着技术渗透到业务的各个部分,网络安全管理变得非常繁琐而艰巨。许多公司都缺乏可靠且系统的基于风险的安全策略。除了少数人拥有其应用程序,处理的数据和已实施的安全控制的最新积压之外,许多公司还缺少应用程序安全程序。在没有任何适当知识的情况下,保护这些应用程序似乎不太可能。
格雷格·马丁(Greg Martin):攻击者已经学会了在很大程度上自动化攻击,将攻击频率提高了一个数量级。因此,警报疲劳,错误肯定警报以及巨大的攻击量以及可用于分析的原始数据量,使得做出相应的反应对于人类来说几乎是不可能的任务。众所周知,网络安全方面的技能缺口/人才短缺使这一点更加明显。
斯科特·马特森(Scott Matteson):最普遍的风险是什么?
Anish Joshi:最普遍的风险是通过网络钓鱼电子邮件窃取私人和机密信息。当公司员工打开网络钓鱼电子邮件时,这可能导致恶意软件渗透到公司的计算机系统中,最终导致其损失大量金钱,商业秘密以及名称和声誉。
这不仅影响了整个公司,而且还影响了个人,因为他们的隐私受到侵犯,他们的信息可用于欺诈。一个例子是从他们的银行帐户中偷钱。
格雷格·马丁(Greg Martin):攻击的复杂性每天都在进步,无文件攻击正以惊人的速度增长,这越来越使攻击者能够“远离陆地”生存,这意味着他们正在利用PowerShell等现有脚本功能和现有网络管理工具进行传播并在企业网络内横向移动。由于这种细微的活动,需要用于检测和响应的其他安全工具,这些工具对于已经工作过度,人手不足的SOC [安全运营中心]团队会产生更多警报和复杂性。
Scott Matteson: AI和ML如何帮助解决这些问题?
阿尼什·乔希(Anish Joshi):数据并不短缺或不可用,尤其是在这个数字时代。AI和ML可以通过处理和分析大量数据来发现异常趋势,行为和模式,从而发现异常或欺诈,从而提供帮助。这是在金融界帮助阻止犯罪的重要工具。由于犯罪分子发明了绕过防火墙的新方法,因此传统方法无法检测到网络安全威胁。因此,组织需要更好地防范黑客的此类攻击-他们唯一的方法就是使用足够复杂的AI和ML技术,以解决随着时间而发展的问题。
格雷格·马丁(Greg Martin):提供警报的自动分析功能使分析师能够消除噪音并分类警报,这会带来最大的组织危险。人们根本无法像机器学习驱动的自动化引擎那样快速或有效地处理和分析数据,并且人类无法像自动化一样迅速扩展规模来满足需求高峰。自动化可用于促进ML驱动的安全事件分类和恶意行为检测。
Scott Matteson: AI和ML如何改善网络安全措施?
Anish Joshi:密码保护,真实性检测和多因素身份验证是可以在网络安全中实施的一些措施。机器学习算法可用于对密码强度进行分类,并帮助建议更强更难猜的密码。它们还允许实施更复杂的身份验证机制,例如使用AI检测某些物理特征的生物特征登录。此类技术允许应用多因素身份验证(一种可靠的安全机制),从而使系统更难以渗透。
格雷格·马丁(Greg Martin): AI / ML和自动化极大地增强了端点保护,但是我们看到该技术最大的好处就是指导安全操作,使其一旦受到企业的威胁,该如何处理。网络犯罪活动的日益复杂和持续不断,要求安全运营团队重新考虑他们如何使用人员,流程和技术。使用SOC(安全信息和事件管理)或日志管理工具关联警报以进行手动调查的以人为主导的24/7分层分析器系统来运行SOC的过时实践已被证明是无效的。需要重新定义SIEM / SOC平台的概念,在该概念中,智能自动化是减轻当今分析人员面临的数据负担的驱动力。
Scott Matteson:减少威胁涉及什么?
Anish Joshi:减少网络安全威胁的几种方法是,通过关闭不必要的服务,使用特权级别最低的设置,运行常规的系统安全扫描以保持其最新状态并确保某些敏感数据永远不会泄漏,来加强当前的安全系统。从系统泄漏。同样重要的是,要使公司的员工意识到某些安全问题,例如提防网络钓鱼邮件窃取私人信息,使用强度高且难以猜测的可变密码,仔细检查机密文件,信用卡等个人物品,徽章不会无人值守,以加密格式保存数据,并在发生紧急情况时购买网络保险。
格雷格·马丁(Greg Martin):为安全操作提供自动化工具,以在大海捞针中寻找针头,并在最需要的地方使用有价值的人类智慧。熟练的SOC分析员是我们应对威胁的最佳防御方法。但是,它们提供的大多数分析和处理都是平凡的,浪费了人力资本。理想情况下,人类SOC分析人员应专注于更高级,更有价值的任务,例如威胁搜寻,威胁情报和归因。通过采用自动化,其想法是让分析人员腾出时间来处理非常重要的任务,并让自动化完成繁重的工作。
斯科特·马特森(Scott Matteson):现实生活中有哪些例子?
格雷格·马丁(Greg Martin):一个很好的例子是网络犯罪分子能够隐藏由难以控制的警报和误报导致的噪音,以便安全操作进行分析。83%的组织承认他们甚至无法获得每天收到的警报的一半(Fidelis的最新研究)。
我们已经看到,参与者在Monero加密货币挖矿操作期间成功地躲藏在噪音中,攻击者在最初感染新Linux主机后便建立了匿名收入流。感染后,演员使用Haiduc(一种SSH暴力破解工具)进行自我复制并利用其他感染机会,而没有被发现。只有通过自动的跨源分析,您才能够检测出大量,低保真的事件,并相应地进行分类。
斯科特·马特森(Scott Matteson):坏蛋如何发展他们的策略以克服预防措施?
阿尼什·乔希(Anish Joshi):由于AI和ML不仅用于网络安全,而且还用于网络犯罪,所以坏人利用它们来更好地描述受害者并加速攻击。可以在欺诈检测中使用的相同技术也可以用来克服现有的安全措施。
格雷格·马丁(Greg Martin):攻击者自己将采用更大的自动化形式来提高攻击的频率和复杂程度。这将是一场持续的比赛。
斯科特·马特森(Scott Matteson):该领域的发展方向如何?
艾妮丝·乔希(Anish Joshi):随着技术的飞速发展,计算机系统将使世界变得更加互连,这为网络犯罪的发生打开了更多的可能性,因为几乎所有事情都在黑客的控制范围之内。尽管日趋成熟的技术将导致更强大,更安全的系统,但黑客也将有充分的机会利用其空前的力量来实现诸如欺诈之类的错误目的。
下一代网络安全产品越来越多地融合了AI和ML技术。在Fusemachines,我们正在帮助公司提升对机密数据和机密的保护。通过在网络安全,网络甚至物理信息的大型数据集上训练AI软件,网络安全解决方案提供商旨在检测并阻止异常行为,即使该行为未表现出已知的“签名”或模式。
随着时间的流逝,公司会将ML纳入每种类型的网络安全产品。为了到达那里,Fusemachines通过提供一组专门的顾问,AI工程师和数据科学家来帮助公司。
格雷格·马丁(Greg Martin):将自动化与一线分析师并列放置。人类安全操作将不会被机器取代;相反,自动化将提高分析人员的技能和效率,使他们能够减轻数据处理和日常工作的负担,并专注于机器无法执行的认知过程。
我还收到身份管理提供商Sailpoint首席产品官Paul Trulove的消息,他说:
“让我们退后一步,看看为什么人工智能(AI)和机器学习(ML)成为安全的宠儿。这不是因为机器人正在接管,而是因为人类已经接管了。互联网大约在40亿范围内,约占世界人口的一半。在这里,人类是存在风险的,这意味着网络安全已成为我们应对业务,政府,甚至个人生活中的风险的第一线。
“对组织而言,网络安全威胁的数量正在增加,而现实是,如果没有AI和ML之类的技术的帮助,人们就无法克服这种风险。AI和ML是力量的倍增器,它们使IT安全团队能够发现众所周知的问题通过快速合成大量数据以检测真正的关注区域,可以更快地“威胁大海捞针”,这不仅适用于IT安全团队,而且对于身份团队也是如此,他们在身份安全期间面临着类似的身份多样性大数据问题他们的数字化转型,这意味着必须在更多的应用程序(传统和云)和数据(结构化和非结构化)中管理更多的身份(人类和非人类)。
