如今�����,隨著技術(shù)的的發(fā)展,數(shù)據(jù)中心網(wǎng)絡(luò)變得越來越快���,越來越大�,越來越難以保護���。
網(wǎng)絡(luò)所傳播的數(shù)據(jù)量超出人類可以人工監(jiān)控的數(shù)量����。雖然安全專業(yè)人員數(shù)量也在增長�,但無法滿足需求。
當網(wǎng)絡(luò)攻擊者使用全新的攻擊媒介攻擊時��,網(wǎng)絡(luò)運營的情況將會更加糟糕�����。當他們使用已知的方法時���,將會不堪重負����,并且安全團隊因為處理大量事務(wù)而難以承受�����。
網(wǎng)絡(luò)攻擊者的武器庫變得越來越強大。開源人工智能工具的可用性意味著他們可以比以往更快地部署更復雜和更具破壞性的攻擊����。
與此同時,受害者的違規(guī)行為的代價也越來越高昂����。對于規(guī)模較小的企業(yè)而言,丟失敏感數(shù)據(jù)或勒索客戶文件的勒索軟件攻擊可能會讓公司倒閉����。
專家表示�,通過機器學習增強安全功能不僅有助于提高安全性,而且變得越來越有必要�����。
數(shù)據(jù)中心運營商如果不采用人工智能和機器學習來通過自動化實現(xiàn)基于行為的安全提供支持���,特別是在攻擊的響應(yīng)和補救方面����,將因為無法跟上威脅技術(shù)的發(fā)展而使自己變得脆弱?�!盨entinelOne公司產(chǎn)品管理總監(jiān)MigoKedem說���,SentinelOne公司是一家位于加利福尼亞州山景城的安全廠商���。
安全廠商正在為其產(chǎn)品添加人工智能和機器學習,以更好地檢測威脅���,幫助企業(yè)自動化他們的響應(yīng)����,并幫助進行攻擊的取證分析����。
威脅檢測
用于威脅檢測的三種主要機器學習技術(shù)是分類、異常檢測和風險評分��。
例如�,如果存在大量已知惡意行為和已知良好行為的集合,則可以訓練機器學習系統(tǒng)以對這兩個類別之間的新行為進行分類����。
該技術(shù)目前用于改進惡意軟件檢測����。例如����,通過在良好軟件和惡意軟件的示例進行訓練來區(qū)分。
通過異常檢測�����,系統(tǒng)可以了解網(wǎng)絡(luò)上的典型行為�,并查找任何異常情況。
Awake Security公司聯(lián)合創(chuàng)始人Debabrata Dash說���,數(shù)據(jù)中心網(wǎng)絡(luò)特別適合利用異常檢測技術(shù)���。
“數(shù)據(jù)中心網(wǎng)絡(luò)通常通過DevOps進行良好控制和實現(xiàn)自動化��?��!彼f�����,“鑒于這種環(huán)境��,通常機器學習可以檢測到的活動通常比一般的企業(yè)環(huán)境更具安全性�����?��!?/p>
分類和異常檢測可能會產(chǎn)生許多潛在的威脅����。風險評分技術(shù)可以對它們進行排序�����,因此安全人員可以優(yōu)先考慮可能造成最大損害的人員�����。
風險評分不僅有助于識別潛在威脅�����,還有助于發(fā)現(xiàn)網(wǎng)絡(luò)中的弱點,并建議首先需要修復哪些漏洞��。
首先要充分了解網(wǎng)絡(luò)上的設(shè)備��、應(yīng)用程序和用戶����,以及是否所有內(nèi)容都已正確配置并完全修補。這并不像聽起來那么簡單��,因為網(wǎng)絡(luò)和風險都可能快速變化�����,需要修復的事物數(shù)量很快就會超過可用時間����。
安全廠商Balbix公司創(chuàng)始人兼首席執(zhí)行官GauravBanga表示,機器學習有助于擴展人類在分析網(wǎng)絡(luò)狀態(tài)和行為方面的專業(yè)知識����。它還可以幫助評估現(xiàn)有的安全控制措施是否足夠,并進行適當校準��。
Gartner公司將此稱為“風險感知漏洞管理”�。此類別中最先進的產(chǎn)品還可以評估每個可能的漏洞的業(yè)務(wù)風險并提出修復建議。
機器學習輔助取證
當安全專業(yè)人員正在調(diào)查事件時�����,從不同的系統(tǒng)中提取日志并掃描它們以獲取相關(guān)信息需要時間�。
機器學習驅(qū)動的取證通過立即提取他們最有可能想要看到的數(shù)據(jù)來簡化這一過程。
響應(yīng)自動化
一旦識別出威脅�,處理越快,損害越小�。一些響應(yīng)實現(xiàn)自動化可以減少反應(yīng)時間,并釋放安全團隊的負擔�����,使其專注于更具挑戰(zhàn)性的問題���。但是創(chuàng)建自動化腳本本身很耗時�����。工作人員希望通過人工智能��,系統(tǒng)將對企業(yè)的事件響應(yīng)歷史進行培訓���,并為行動提出建議�����。
在提供最大價值的同時風險最小的建議可以自動執(zhí)行�����,而其他建議則提交給分析師批準�。
而企業(yè)遇到一個重大障礙是數(shù)據(jù)中心經(jīng)常使用多個安全解決方案��,這些解決方案彼此之間無法很好地兼容��。
安全專家Fortinet公司產(chǎn)品和解決方案高級副總裁John Maddison說:“組織將他們的安全系統(tǒng)整合到一個單一的整體安全結(jié)構(gòu)中��,提供單一的管理和可見性是至關(guān)重要的�。由于缺乏可見性,大多數(shù)數(shù)據(jù)中心缺乏真正的自動化�����。最安全的數(shù)據(jù)中心能夠根據(jù)適當?shù)目梢娦圆东@威脅�����,并使用自動化來隔離可疑用戶��。”
一旦人工完全部署在數(shù)據(jù)中心�����,這是否意味著將不再需要安全專家?并不是這樣��,因為人工智能可以做的仍然有限�����,Juniper網(wǎng)絡(luò)公司網(wǎng)絡(luò)安全策略師Nick Bilogorskiy表示�����。
他說����,“真正的問題是如何正確使用�、解釋,并從中得出正確的結(jié)論��。就目前而言�,我們?nèi)匀环浅P枰茖W家來做這件事?�!?/p>
