在拨号互联网时代之前,当病毒通过感染软盘传播时,网络安全一直非常重要。对手和 IT 专业人士之间的战斗正在升级。攻击者将创建新的和不同类型的恶意软件或攻击,IT 团队部署新的或改进的防御类型来保护其不断增长的数据库存。
最新一轮信息安全 (InfoSec) 在攻击中,攻击者正在通过新的载体部署新的威胁,并利用人工智能的力量来增强攻击。处理这些攻击的唯一方法是在网络安全防御中部署人工智能的力量。
网络安全威胁一直在增长
攻击面正在增长“过去”,计算机独立运行或使用封闭网络连接到其他几台机器。然后是局域网、广域网和互联网访问。现在,一半的应用程序在云中运行,一半(或全部)用户在家工作,并使用移动设备访问网络。通过首先入侵用户的笔记本电脑或手机或基于云的应用程序实例,它为攻击者提供了更多潜在的网络入口点。供应链攻击构成了另一种威胁,来自信任供应商的软件也可能包括嵌入式恶意软件。然后,攻击者使用感染的应用程序或设备作为海滩位置入侵网络的其他部分。
这不是新闻,但现在 IT 有望保护大部分或全部数据。在旧的安全模型中,InfoSec 只需筛选程序和其他可执行文件,如使用宏文档或电子表格,以确保它们不携带恶意软件。这可能是数据的5% 到 10%。但现在,即使是不可执行的数据也需要保护,以避免勒索软件和盗窃——您需要 100% 来保护这些数据。分布式应用程序架构和混合云增加了服务器之间所需的通信量,而网络速度在过去25年中增加了 2000倍(从 1995年 100Mb 以太网到 2020年 200Gb 以太网)。网络上更多数据的移动速度比以往任何时候都快。需要保护的数据呈指数级增长,需要筛选和分析的流量呈指数级增长。
法律法规的遵从性增加了对保护什么和如何保护的要求,进一步增加了信息安全的负担。必须执行额外的数据加密、访问控制、隐私保护、身份验证方法和报告,这取决于哪些法律法规会影响您的组织。网络安全专业人员现在必须实施他们认为必要的保护措施和法律要求的额外保护措施。如果他们受到黑客攻击,他们将面临惩罚或披露要求。
对手很快就会使用人工智能来加强攻击——如果他们还没有。研究人员展示了人工智能如何定制在线钓鱼攻击,使其更有效或模仿名人或听起来像你的老板“深度伪造”声音。域生成算法会自动生成新的 ,可以传播恶意软件URL,而不是基于 DNS 的安全网关被列入黑名单。僵尸网络使用了简单的人工智能概念来寻找最脆弱的机器,并解决了网络防御问题。更新的病毒已经改变了它们自己的代码,反复改变它们的位置,甚至禁止或修改感染机器上的反恶意软件,以避免检测。这些都是增强网络攻击的基本或简单的人工智能的例子。
为应对威胁风暴的挑战,IT 安全专业人员严重短缺。根据美国商务部最近的一项研究,大约有9.5万 人从事网络安全工作,但有4.5万多个网络安全职位空缺。因此,你不能以自己的方式进入安全和合规。
为什么需要人工智能?
人工智能可以帮助检测和预防五个领域的安全威胁:
1) 比人类筛选更多的数据
需要检查的数据量巨大,超出了任何人甚至团队都可以合理筛选的范围。人类信息安全调查通常只在确认或至少怀疑违规行为后进行。当威胁更加有限时,少数人可以合理地响应所有的防病毒和防火墙报警,并有信心处理大多数安全威胁。但现在,所有服务器上的数据和每个网络连接上的所有流量都可能受到怀疑,通过VPN不可信不可信用户混在一起,Web 基于云的应用程序网关和应用程序。使用传统日志记录或遥测工具的人每天只能取样几个 GB 数据,但基于 AI 网络安全可以每天审查和分析 TB 级数据用于检测恶意软件、黑客攻击、数据泄露或成功或正在进行的证据攻击。
2) 捕捉可疑行为而不仅仅是可疑行为
老派的威胁以固定和可识别的形式出现,一旦释放到野外,就不会改变。只要大多数组织定期更新其安全软件签名,它们就会受到保护。现在,先进的恶意软件将进行自我修改,黑客工具包允许罪犯每天甚至每小时创建新的恶意软件。新的漏洞利用和病毒通常在安全公司发布更新签名之前攻击数据中心。这些零日攻击以前从未出现过,所以它们不会出现在任何威胁数据库中。人工智能驱动的安全性可以通过发现可疑行为而不仅仅是扫描已知的签名来检测训练 AI即使以前从未见过特定的攻击,也要识别可疑的应用程序行为或流量模式来检测新的攻击。
3) 识别应用程序和网络中的错误、漏洞和错误
AI 有能力通过发现和解决恶意软件和泄露敏感数据以外的问题来提高安全性。它可以扫描应用程序、服务器和网络日志来识别错误的配置、过时的软件或不正确的设置。AI 还可以在部署前扫描应用程序代码或在流片前扫描芯片设计,以帮助在产品投入使用前发现漏洞。这些用途不会发现威胁或病毒,但会消除系统、应用程序和网络漏洞,从而降低黑客攻击成功的可能性。
4) 识别充当人类机器和充当机器的人类。
用户身份验证访问应用程序,各种应用程序,Web、数据库和中间服务器还验证其他机器共享数据。但是,如果僵尸网络学会模仿人类员工的行为,会发生什么呢?如果对手假装是一个值得信赖的服务器怎么办?人工智能驱动的安全学习正常的流量和数据访问模式,并可以快速检测机器是否假装是合法用户(机器是人)。它还可以检测攻击者何时冒充值得信赖的机器访问敏感数据(人是机器)。
5) 识别前所未有或零日威胁
传统的安全软件引用了一个已知的恶意软件签名数据库,它应该被阻止进入数据中心。今天的问题是恶意软件签名数据库,不能快速更新敏感信息,以跟上新的恶意软件创建或自我修改的恶意软件。同样,防止泄露到组织外的敏感数据的固定列表也将永远过时。人工智能驱动的安全性可以通过识别可疑的行为模式或网络流量来识别零日攻击,而无需依赖固定的签名数据库。人工智能可以识别敏感信息的类别或类型,而不仅仅是与严格的预定义列表相匹配的信息。
随着数据量、攻击面和威胁数量的不断增加,人工智能技术是唯一合理的对策。人工智能驱动的数据科学提供了许多新的威胁和漏洞的适应性,涵盖了所有相关机器和网络流量,以及识别信息安全团队及其软件工具。