人工智能正在迅速占据市场地位,以我们无法想象的方式渗透到新的应用领域,包括人工智能网络安全解决方案。炒作丝毫没有减弱的迹象。事实上,即使在 C 级高管中,这种趋势也正在获得真正的推动力。原因很明显:人工智能提高效率的潜力几乎是无限的。
但它的颠覆潜力也是如此。在网络安全领域,风险一如既往地高。人工智能的使用在路障的两侧都很明显:攻击者和防御者都一样。
在本文中,我探讨了人工智能对网络安全领域的影响,描述了潜在的用例及其可能的有效性,讨论了与人工智能技术本身相关的挑战,并反思了人工智能对网络安全专业人员的工作构成的威胁。
人工智能网络安全挑战
网络安全是一个值得关注的领域,与其说是因为它的效率,不如说是因为它面临的挑战。随着成功的网络攻击数量持续增加,美国国际开发署估计网络犯罪的全球成本为 2023 年 8 万亿美元预计到 2027 年将增长到 27 万亿美元。与此同时,世界面临着网络安全专业人员的严重短缺。
然而,人们越来越担心合法组织和网络犯罪分子正在采用人工智能技术。根据 Sapio Research и Deep Instinct 的一项调查, 75% 的网络安全专业人士观察到网络攻击有所增加, 85% 的人认为人工智能技术可能促成了这一激增。
事实上,攻击者越来越多地利用人工智能来有效地收集和处理有关其目标的信息、准备网络钓鱼活动并开发新版本的恶意软件,从而增强其恶意操作的威力和有效性。与此同时,数字世界的数据增长超过了人类的认知能力,而网络安全人才由于对专业知识的高要求而无法足够快地扩展。随着外部因素重塑行业,在数据和攻击激增的情况下,现有的挑战正在加剧。
人文背景
介绍网络安全系统中最重要的弱点:人为错误。我们一次又一次地看到数据泄露的情况,即设计用于在受保护网络中处理和存储有价值信息的系统由于人员配置错误而变得不安全并暴露于公共访问。
效率是网络安全的另一个痛点。专家无法一致且完美地处理数百个日常警报,并且随着企业网络变得更加复杂和多样化(就像今天一样),管理手动流程变得越来越困难。
与其他行业一样,网络安全在很大程度上依赖于人为干预。网络安全专业人员在处理有价值的数据之前验证数据库配置,在发布新应用程序之前扫描代码库,调查事件并确定根本原因等任务。但现在也是我们拥抱人工智能来提高效率并为网络安全防御者提供优势的时候了。
人工智能在网络安全中的用例
在讨论具体用例之前,我们先简要定义所提到的技术,为讨论其用例奠定基础。
人工智能(AI) 是计算机科学的一个领域,专注于创建执行需要人类智能的任务的系统,例如语言处理、数据分析、决策和学习。它是首要学科,其他领域也属于它的范畴。
机器学习(ML)是人工智能的一个子集,使系统无需显式编程即可从数据中学习和改进,从而根据模式和大型数据集做出决策。它是目前网络安全最相关的领域。
深度学习(DL)是机器学习的一个分支,它使用人工神经网络对复杂关系进行建模并解决大型数据集的问题。由于 DL 属于 ML 的范畴,因此本次讨论将主要集中在机器学习上。
- 降低准入门槛
该领域的进入门槛因其对技术专业知识的高要求而臭名昭著。防火墙等早期工具使用简单的流量规则,但随着网络变得越来越复杂,创建和验证这些规则变得越来越具有挑战性。
人工智能可以通过编写准确的规则来简化这一过程,同时为专家提供界面,例如自然语言处理聊天系统。网络安全专业人员可以描述允许或阻止哪些流量以及应应用特定规则的条件,并且人工智能将生成机器可读的策略,确保正确的语法和语义。这简化了规则开发,使该领域更容易访问,并减少了安全管理所需的工作量。
- 资产清单和攻击路径映射
随着企业网络变得越来越复杂并演变成具有全球存在点的混合和多云环境,管理和保护它们变得非常具有挑战性。现代网络还可以根据需求自动扩展,从而增加了资产清查、威胁识别和潜在攻击路径建模的难度。
人工智能可以通过持续扫描网络、对资产进行编目和添加上下文洞察来帮助完成这些任务。凭借从数据中学习的能力,人工智能在预测方面已经超越了人类,并且可以分析网络架构以识别潜在的攻击链。这有助于网络安全团队确定工作的优先顺序,将重点从被动措施转移到主动防御。借助人工智能,攻击者可能利用哪些漏洞以及如何有效地强化这些漏洞变得更加清楚。
- 漏洞管理
随着企业网络的规模和复杂性、已识别漏洞、可用漏洞利用和漏洞评估指标数量的不断增加,漏洞管理的复杂性也随之增加。对于网络安全专家来说,在大型网络中启动漏洞管理计划就像大海捞针一样。传统的漏洞扫描程序通常会生成大量报告,其中包含数千个不同严重程度的漏洞,并附有可能在没有业务和应用程序上下文的情况下缺乏相关性的补救建议。
人工智能可以在此过程中发挥几个关键作用来支持专业人士:
- 将漏洞数据与有关漏洞利用和相关攻击的信息关联起来。
- 通过业务上下文丰富系统漏洞数据。
- 优先考虑修复漏洞并自动部署补丁。
零日漏洞是另一个挑战,但人工智能可以通过分析大量信息来识别和跟踪不同技术的零日漏洞来提供帮助。
4. 恶意软件检测与分析
恶意软件是现代网络攻击的支柱,其数量随着网络犯罪团伙、攻击数量和攻击者预算的增加而不断增加。网络犯罪分子使用先进技术来增强恶意软件并逃避检测。有些人甚至利用人工智能更快、更高效地开发新的恶意软件样本。
人工智能可以通过行为分析识别恶意软件并协助逆向工程,专家分析恶意软件以提高防御能力。在逆向工程中,人工智能可以充当顾问,解释代码段以及恶意软件开发人员选择背后的可能意图,从而简化网络安全专业人员的分析过程。
5. 威胁和攻击监控
网络攻击变得更加频繁、复杂和快速。曾经需要几个月的时间现在只需要几秒钟。现代攻击者横向移动、窃取数据并擦除痕迹,使他们能够瞄准更多受害者并最大限度地发挥其影响。这种行为给网络安全团队带来了大量警报,使得快速响应成为这场复杂游戏的决定性因素。
然而,许多都是误报,导致专业人员警觉疲劳。随着网络和数据的增长,手动日志分析不再可行,尤其是在熟练的网络安全专家持续短缺的情况下。
这就是为什么将持续的网络监控和威胁检测委托给人工智能并自动响应攻击指标是最好的前进方向。幸运的是,大多数网络攻击都遵循人工智能可以学习的常见模式,从而能够快速响应,领先于攻击者。人工智能全天候(24/7)无疲劳地运行,快速适应新数据,减少误报,并可以在发现攻击痕迹时生成预防措施建议,弥补人类专家可能忽视的空白。充其量是一个梦想的合作伙伴。
6. 网络钓鱼防护
削弱企业网络安全系统的人类特征之一是我们倾向于根据情绪行事。网络犯罪分子通过社会工程(特别是网络钓鱼)利用此漏洞,利用员工作为进入公司网络的入口点。
为了使攻击更加有效,攻击者越来越多地结合人工智能来制作更有说服力的网络钓鱼电子邮件并针对更多受害者。作为回应,网络安全专业人员可以通过在已知社会工程技术的大型数据集上训练人工智能模型来保护员工免受网络钓鱼攻击。
7. 行为监控和内部威胁检测
防范内部威胁仍然是网络安全中最大的挑战之一。内部人员可以合法访问公司系统,这使得检测变得更加困难。
人工智能驱动的系统可以自动识别可疑行为,例如未经授权访问敏感数据或企图窃取数据。利用机器学习,人工智能可以适应员工行为的变化,减少误报。此外,人工智能通过分析历史数据并识别表明员工潜在恶意行为的模式来帮助预测风险。
8. 增强的网络安全事件搜索
谷歌是搜索引擎领域的主要产品,提供我们都依赖的结果。然而,它的搜索结果通常感觉更像是一个目录,而不是关键点的简洁摘要。对于网络安全专业人员来说,拥有增强的搜索工具可以在解决网络威胁方面发挥重要作用。
当专家需要详细了解受保护的企业网络的状态时,简单的“目录”是不够的。人工智能驱动的系统可以介入提高传统搜索能力,提供做出明智决策和有效应对威胁所需的关键背景。
9. 尽量减少人为错误
在遵守安全规则的同时管理数千台主机可能会令人难以承受。人工智能可以通过从正确的配置和过去的错误中学习、识别错误并实时标记错误来提供帮助。此外,人工智能可以根据人类提供的功能的描述主动生成主机配置。
拥抱变化
虽然迈向完全自主的人工智能系统似乎相对不太可能,但人工智能有潜力补充人类的专业知识,使专业人员能够处理该领域最紧迫的问题。释放人工智能潜力的关键在于拥有熟练的专家,他们了解人工智能的工作原理,并运用创造力和批判性思维使技术更加有效。
纵观历史,每一次重大技术突破都会引发恐惧和不确定性。然而,随着时间的推移,我们已经学会了适应、拥抱这些工具并有效地使用它们,平衡它们的能力与我们的局限性。现在是时候对人工智能做同样的事情了:将其集成到网络安全中,并委派人工智能比我们表现更好的任务。
