企业如何将人工智能应用于网络安全

在企业不断地追赶新的攻击媒介和漏洞的数字威胁环境中，他们拥有的最佳防御就是使它们成为黑客的诱人目标的一件事：大量的数据。 当然，您已经有了端点保护和加密软件。 而且，您还让IT和安全部门监督基础结构和网络监视平台，以便对任何恶意活动或入侵进行事件响应。 但是，除了这些被动措施之外，其他企业和安全厂商也正在采用人工智能（AI）采取主动措施。

通过使用机器学习（ML）算法和其他AI技术来识别数据模式，易受攻击的用户行为和预测性安全趋势，公司正在挖掘和分析可供使用的大量数据，以希望阻止下一次泄露事件的发生。

企业安全公司Palo Alto Networks的首席安全官里克·霍华德（Rick Howard）表示：“我们收集了大量文件：我们知道的PB文件不是恶意的，而PB文件恰好是恶意的。” “ ML正在教授寻找恶意部分的程序，而无需我们列出他们一直在寻找的所有因素。”

霍华德是最近一个名为“确保突破性技术的安全–未来五年”的小组成员，小组成员讨论了安全领域面临的不断发展的挑战，以及机器学习和自动化如何改变我们识别和响应威胁的方式。 该小组是最近在纽约时代广场纳斯达克市场网站举行的网络安全峰会的一部分，以纪念美国国家网络安全意识月（NCSAM）。 它由纳斯达克和国家网络安全联盟（NCSA）托管。 活动赞助商思科，戴尔，Palo Alto Networks和ServiceNow，网络安全公司Tenable和富国银行（Wells Fargo）为峰会提供了小组成员。

自动化防御

人工智能永远存在于现代软件中。 虚拟助手，聊天机器人和算法驱动的建议遍布消费者应用程序和在线体验。 同时，企业正在将ML和其他AI技术应用于收集到的每一个数据中，从客户关系管理（CRM）和销售数据到包含用户行为的每次点击和偏好。

安全数据就像您输入到ML模型中的任何其他数据集一样。 您提供的数据越多，训练的技能越好，那么AI不仅可以简单地识别模式，还可以提取正确的信息以提供预测优势，从而越准确。 成功采用AI技术需要对要解决的问题有清晰的认识。 Tenable的联合创始人兼首席技术官Renaud Deraison表示，在事件响应方面，了解ML是什么以及什么不是ML很重要。

Deraison说：“机器学习意味着可以进行一百万次变化和一百万种变化的训练，因此下次计算机遇到某种情况时，它就知道该怎么做。” “这不能使其发明一些东西。我们还没有处于可以说'好的计算机，只是保护我'的阶段。”

目标是注入AI的网络安全软件完全自动化预测，检测和响应。 思科Cloudlock首席技术官Ron Zalkind讨论了思科Umbrella云安全平台如何通过将ML应用于其庞大的消费者和企业活动数据库来解决DNS问题，以识别不良行为者何时试图通过分布式拒绝服务向DNS泛滥。 （DDoS）攻击。 扎尔金德（Zalkind）举了一个类似的例子，即去年DNS提供商Dyn遇到的具有历史意义的Mirai僵尸网络DDoS，他的想法是将DNS查询解析为错误的目的地并自动锁定以切断来自恶意域的流量。

左起：NCSA执行董事Michael Kaiser，ServiceNow Security CTO Brendan O'Connor，Palo Alto CSO Rick Howard，戴尔的David Konetski，Cisco Cloudlock CTO Ron Zalkin和Tenable CTO Renaud Deraison。

可悲的事实是，黑客和对手正在获胜。 ServiceNow的安全CTO Brendan O'Connor表示，我们已经在预防和检测上看到了巨大的创新，但是在自动响应方面，安全行业已经落后了。 人工智能正在帮助供应商弥补这一点。

奥康纳说：“当我们观察我们今天如何做出反应时，过去十年来它基本上没有改变。” “发生的最有害的违规事件不是忍者像不可能的任务那样从天花板上掉下来。我们不会强迫攻击者变得更好或适应。如果供应商无法在30或60或90天之内修补补丁，他们就不会旋转的凭据和密码。攻击者只能从Internet下载工具并利用旧漏洞。”

奥康纳和霍华德都同意，攻击者通常只是在使用更高级的技术。 现代恶意软件僵尸网络具有高度的弹性，并且很难一次关闭一台计算机或节点。 攻击者拥抱了云，并将其用作攻击企业的平台。 霍华德说：“网络攻击者已经使他们的流程自动化了，我们仍在后台处理人类。”

ML通过自动化与自动化进行斗争。 算法分析大量数据集，以查看缺陷的普遍性，其实现的简便性以及许多其他因素。 这种分析可以帮助企业确定应首先重点部署的补丁程序中的哪一个优先级。

预测安全的未来

网络安全中的自动化和预测分析已经存在了很长时间。 但是人工智能在过去几年的进步改变了它在公司整个技术体系中的运作方式。 小组讨论之后，PCMag赶上了戴尔的David Konetski。 他是首席技术官办公室的客户研究员兼副总裁。 戴尔多年来一直从事AI和ML研究，例如预测性故障分析，系统编排和设备管理。 Konetski解释了戴尔在AI方面的工作如何发展以及该公司在预测安全性方面所做的一些创新工作。 这项工作涉及恶意软件分析，用户行为分析和异常检测。

“我们是最早进行预测性失效分析的人之一，”科涅茨基说。 “我们意识到盒子里有很多仪器，管理系统获得了大量有关网络中正在发生的事情的数据。您难道不知道电池或硬盘何时出现故障吗？”

预测性故障分析始于公司客户，然后才投入到戴尔的客户服务中，另外还有自动化功能，例如电子邮件触发器，告诉客户在仍可享受保修的情况下订购新电池。 在安全领域，该预测性ML现在已应用于高级威胁防护（ATP）。 2015年，戴尔与基于AI的威胁防护公司Cylance合作，不仅将文件标记为恶意文件。 相反，他们查看文件的DNA以确定文件的意图，然后再运行。

“我们已经利用了数据保护功能，并改进了该环境，现在可以在数据移动时在原始点保护数据，并对数据进行一些访问控制，以便您现在作为IT人员知道所有数据在哪里在世界范围内被使用，由谁以及如何被使用。这是前所未有的。”

Konetski继续说：“您是怎么做到的？您查看软件的行为。” “软件是以奇怪或恶意的方式运行的吗？这是行为分析的第一代。现在，下一代不仅可以查看它，还可以查看您的个人行为或机器的行为，具体取决于物联网还是个人计算AI正在寻找可能还可以的异常行为，但作为CTO，如果我正在访问所有客户数据，则可能会收到类似“您是否意识到自己在做什么，是或否的警告”标记' 这样一来，用户将受到训练，并知道系统正在监视。”

下一步涉及将AI与用户行为分析结合使用，以更主动地预防组织内部的网络安全风险。 人为错误通常是破坏和漏洞的根源，无论是默认密码，成功的鱼叉式网络钓鱼尝试，还是在最近的Amazon S3中断情况下，都是错字。

对于像戴尔这样需要解决整个硬件和软件堆栈中的漏洞的公司而言，专注于用户并利用AI来从源头上消除潜在威胁是一种更有效的方法，可以使这些数据发挥作用。 这不仅涉及ML算法在外部检测到的内容以及AI提供的预测威胁缓解功能。 另一方面是将数据变成组织内部员工的自然的内部提醒。

“无论是消费者还是企业，如果我能给您一点警报并说'您确定要进行下次点击？我们已经检测到一种被识别为潜在恶意的模式。” 这就是用户行为分析与攻击模式知识的结合。” Konetski解释说。

戴尔还致力于使用用户和计算机的上下文，对您可以访问的内容做出明智的决策。 今年推出的托管企业解决方案称为Dell Data Guardian，具有Konetski所称的“早期”访问控制功能，这些功能将演变为更深入的方法来保护网络基础结构。 想象一下，人工智能知道您是谁，您使用的设备是什么，您在世界上的位置，然后使用ML对数据进行分类以做出明智的访问控制决策。

“因此，今天，如果您在一个东欧国家中试图访问德克萨斯州奥斯丁的数据，那么将会发生一些有趣的事情。像今天这样简单的事情我们今天可以做，” Konetski说。 “前进，也许我只想给您只读访问权限。也许我想给您远程访问权限，所以我将在数据中心托管一个应用程序，而我将通过HTML5浏览器为您提供视图。也许我看到您在防火墙后面的公司设备上，并且所有内容都已打补丁，所以我给了您一把钥匙。

“重要的部分以及AI和ML使我们能够做的是对最终用户透明地完成所有这些工作。因此，当您要访问该文件时，您不会意识到我们拥有所有这些功能控件在后台；这一切对您来说都是无缝的。”