Last Updated:

网络人工智能:真正的防御

银狐 安全

利用数据和机器智能增强安全团队

随着组织与安全漏洞作斗争,网络 AI 可以成为力量倍增器,使安全团队不仅能够比网络攻击者更快地做出响应,而且能够预测这些举动并提前采取行动。

尽管在安全技术上进行了大量投资,但组织仍在与安全漏洞作斗争:他们的对手迅速发展策略并保持技术曲线的领先地位。人类可能很快就会被庞大的数量、复杂性和检测网络攻击的难度所淹没。

人们已经面临着如何有效分析从整个安全技术堆栈流入安全运营中心 (SOC) 的数据的挑战。这不包括来自网络设备、应用程序数据和更广泛技术堆栈中的其他输入的信息馈送,这些输入通常是高级攻击者寻找新向量或使用新恶意软件的目标。随着企业越来越多地扩展到防火墙之外,安全分析师负责保护不断增长的攻击面。

与此同时,网络犯罪的成本继续攀升;预计到 2021 年底,这一数字将从 2015 年的 3 万亿美元翻一番,达到 6 万亿美元,到 2025 年增长到 10.5 万亿美元。1 2021 年单次数据泄露的平均成本为 424 万美元,2比 2020 年增长 10% 2019. 3根据保险公司 AIG 的数据,自 2018 年以来,仅勒索软件索赔就增长了 150% 。4

是时候呼吁 AI 备份了。网络 AI 可以成为一种力量倍增器,使组织不仅能够比攻击者的行动更快地做出响应,而且能够预测这些行动并提前做出反应。网络人工智能技术和工具处于早期采用阶段;从 2021 年到 2025 年,全球市场预计将增长 190 亿美元。5

人工智能自适应学习和检测新模式的能力可以加速检测、遏制和响应,减轻 SOC 分析师的负担,让他们更加主动。奖励:它可以帮助组织为人工智能驱动的网络犯罪的最终发展做好准备。

扩大企业攻击面

组织的攻击面呈指数级扩大。正如技术堆栈进入物理中所讨论的那样, 5G 网络的采用和网络连接的增加,以及更加分散的劳动力和不断扩大的合作伙伴生态系统,可能会带来新的风险。他们将企业暴露在防火墙之外,并将其推入客户设备、员工家庭和合作伙伴网络。

更多远程工作者。 在 COVID-19 之前,只有大约 6% 的员工在家工作。到 2020 年 5 月,大约有 35% 的人这样做了。6在 2020 年封锁的前六周,针对在家工作的员工的攻击比例增加了五倍,从 12% 增加到 60%。7一项调查发现,51% 的受访者在转向远程工作模式后发现电子邮件网络钓鱼有所增加。8

对于许多工人来说,远程工作预计仍将是常态,而不是例外,这为网络犯罪分子提供了许多新机会。例如,在企业防火墙和网络安全网关的安全之外,远程工作人员更容易成为目标。他们依赖家庭网络和 VPN 连接,并且经常使用不安全的设备来访问基于云的应用程序和数据。传统的本地安全设备通常旨在支持企业级网络,而不是基于家庭的互联网访问。

随着企业延伸到员工家中,用户行为和数据活动变得更加多样化,并偏离了以前的规范。由于员工在不寻常的时间从非典型位置和设备登录,识别异常行为可能更具挑战性,可能导致误报增加。

联网设备增加。 5G、物联网、Wi-Fi 6 和其他网络进步正在推动联网设备的增加。根据一项估计,在寻求软攻击媒介时,网络犯罪分子将能够从越来越多的联网物理资产中进行选择——到 2023 年将达到 293 亿。9

连接到这些网络的设备数量空前,产生需要处理和保护的数据,导致 SOC 中的数据阻塞。跟踪和管理活动资产、其用途和预期行为可能具有挑战性,尤其是当它们由服务编排器管理时。

这些设备中的许多不是集中定位和控制的,而是分布在各个远程位置,在多个边缘环境中运行,在这些环境中它们收集数据以发送回企业。如果没有适当的安全预防措施,设备可能会受到威胁并继续在网络上正常运行,实质上会变成入侵者控制的机器人,可以释放恶意代码或进行基于群的攻击。

更广泛的第三方合作伙伴生态系统。 日益全球化的供应链和托管数据、基础设施和服务长期以来一直导致第三方风险。随着越来越多的组织将数据与第三方应用程序集成,API 的安全问题日益突出。Gartner 预测,到 2022 年,API 滥用将成为企业最常见的攻击媒介。10

第三方违规行为的复杂性越来越高。五年前,入侵者可能会使用广泛使用的恶意软件来攻击特定的计算机系统、获取承包商凭据并窃取客户数据——当然,这很混乱,但有明确的来源以及监控和修复损害的能力。

与当今复杂的入侵相比,这样的攻击相形见绌,在这种入侵中,从一家公司窃取的信息可用于危害其成千上万的客户和供应商。供应链攻击也可以通过利用复杂供应网络中最不安全的嵌入式组件来实现。几乎不可能监控和补救没有边界的违规行为,主动盗窃可能会持续多年。

采用 5G 网络。 5G 有望通过新的连接、能力和服务彻底改变企业网络。但是,向 5G 混合硬件和分布式、软件定义的网络、开放架构和虚拟化基础设施的转变将产生新的漏洞和更大的攻击面,这将需要更动态的网络保护。

5G 网络每平方公里最多可支持 100 万个连接设备,而 4G 网络仅支持 100,000个 11 - 支持高度可扩展和密集连接的设备环境。市场观察人士预测,到 2025 年,5G 移动连接(不包括物联网)将达到 18 亿,高于 2021 年的 5 亿;12和约 37 亿蜂窝物联网连接,高于 2020 年的约 170 万。13

随着公共 5G 网络的扩展,政府、汽车、制造、采矿、能源和其他行业的组织也开始投资私有 5G 网络,以满足企业对低延迟、数据隐私和安全无线连接的要求。从自动驾驶汽车和无人机到智能工厂设备和手机,由公共和私有 5G 网络连接的设备、应用程序和服务组成的整个生态系统将为黑客创造额外的潜在切入点。每个资产都需要进行配置以满足特定的安全要求。随着设备种类的增加,网络变得更加异构,监控和保护也更具挑战性。

人工智能防御当今的网络威胁

网络安全人才的长期短缺加剧了攻击面的扩大以及网络威胁的严重性和复杂性不断升级。该领域的就业人数必须增长约 89%,才能消除估计全球超过 300 万网络安全专业人员的短缺。14人工智能可以帮助填补这一空白。

加速威胁检测。威胁检测是网络人工智能最早的应用之一。它可以增强现有的攻击面管理技术以减少噪音,并使稀缺的安全专业人员能够对最强的信号和危害指标进行归零。它还可以更快地做出决策和采取行动,并专注于更具战略性的活动。

高级分析和机器学习平台可以快速筛选安全工具生成的大量数据,识别与规范的偏差,评估来自涌入网络的数千个新连接资产的数据,并接受培训以区分合法和恶意文件、连接、设备和用户。

人工智能驱动的网络和资产映射和可视化平台可以实时了解不断扩大的企业攻击面。他们可以识别和分类活动资产,包括容器化资产,这可以提供对恶意资产行为的可见性。结合人工智能和机器学习的供应链风险管理软件可以自动化监控物理和数字供应链环境并跟踪资产组合和链接方式的过程。

遏制和响应中的力量倍增器。人工智能还可以作为力量倍增器,帮助安全团队自动化耗时的活动并简化遏制和响应。考虑机器学习、深度学习、自然语言处理、强化学习、知识表示和其他人工智能方法。当与自动评估和决策相结合时,人工智能可以帮助分析师管理数量不断增加且日益复杂的安全威胁并实现规模化。

例如,与其前身一样,5G 很容易受到干扰攻击,其中攻击者故意干扰信号传输。弗吉尼亚理工大学和德勤联邦网络计划的研究人员正在合作了解 5G 网络安全设计和实施,他们正在努力在低级信号干扰导致网络瘫痪之前识别它。通过实施基于人工智能的干扰方案和机器学习模型,开发了一个实时漏洞评估系统,可以检测低电平信号干扰的存在并分类干扰模式。15

自动化可以帮助最大化人工智能的影响并缩短检测和修复之间的时间。嵌入 AI 和机器学习的 SOC 自动化平台可以采取自主的预防措施——例如,阻止对某些数据的访问——并将问题上报给 SOC 以供进一步评估。当在控制 API 访问的 API 管理解决方案之上分层时,针对用户访问模式进行训练的机器学习模型可以检查所有 API 流量,以实时发现、报告和处理异常情况。

主动安全态势。经过适当训练的人工智能可以实现更主动的安全态势并提高网络弹性,使组织即使在受到攻击时也能保持运营,并减少对手在环境中的时间。

例如,上下文丰富的用户行为分析可以与无监督机器学习算法相结合,以自动检查用户活动;识别网络活动或数据访问的典型模式;识别、评估和标记异常(并忽略误报);并决定是否需要做出回应或干预。通过向人类安全专家提供情报并使他们能够积极参与对手的追捕,人工智能可以实现主动威胁搜寻。

组织可以利用人工智能和机器学习来自动化安全策略配置、合规性监控以及威胁和漏洞检测和响应等领域。例如,机器学习驱动的特权访问管理平台可以自动开发和维护有助于实施零信任安全模型的安全策略。通过分析网络流量模式,这些模型可以区分合法和恶意连接,并就如何分割网络以保护应用程序和工作负载提出建议。

结合漏洞分析和强化学习,安全专家可以生成攻击图,对复杂网络的结构进行建模并揭示最佳攻击路线,从而更好地了解网络漏洞并减少进行测试所需的人员数量。同样,网络攻击模拟工具可以不断模仿高级威胁的策略和程序,以突出基础设施漏洞和潜在攻击路线。

不断发展人类安全分析师的角色。 在一项针对安全分析师的调查中,40% 的人表示他们最大的痛点是警报过多;47% 的人表示很难知道哪些警报应优先用于事件响应。16另一项调查发现,分析师越来越相信他们的角色是减少警报调查时间和警报数量,而不是分析和修复安全威胁。超过四分之三的受访者表示分析师流失率超过 10%,近一半的受访者表示流失率在 10% 至 25% 之间。17

人工智能不能取代人类安全专业人员,但它可以增强他们的工作并可能带来更多的工作满意度。在平均 SOC 中,人工智能和自动化可以消除 1 级和 2 级分析师的繁琐功能。(第 1 层评估传入数据并决定升级问题,第 2 层响应故障单,评估每种威胁的范围,确定响应和补救措施,并在需要时升级。)这些分析师可以接受培训,以发挥更具战略性的作用招聘更具挑战性的人,例如处理最棘手的安全挑战并专注于主动识别和监控威胁和漏洞的高级 2 级分析师和 3 级分析师。

对抗未来人工智能驱动的网络犯罪的利害攸关的武器

使人工智能成为抵御安全威胁的宝贵武器的相同功能——快速数据分析、事件处理、异常检测、持续学习和预测智能——也可以被犯罪分子操纵以开发新的或更有效的攻击并检测系统弱点。

例如,研究人员使用生成对抗网络(两个相互竞争以创建类似于训练数据的数据集的神经网络)来成功破解数百万个密码。18同样,称为 GPT-3 的开源深度学习语言模型可以学习行为和语言的细微差别。网络犯罪分子可以使用它来冒充受信任的用户,并且几乎不可能区分真实和欺诈性电子邮件和其他通信。19网络钓鱼攻击可能会变得更具情境性和可信度。20

高级对手已经可以渗透到网络并保持长期存在而不会被发现,通常会缓慢而谨慎地移动,并针对特定目标。将 AI 恶意软件添加到组合中,这些入侵者可以学习如何快速伪装自己并逃避检测,同时损害许多用户并快速识别有价值的数据集。21

组织可以通过实战来帮助防止此类入侵:有了足够的数据,人工智能驱动的安全工具可以有效地实时预测和应对人工智能驱动的威胁。例如,安全专家可以利用研究人员用来破解密码的相同技术来测量密码强度或生成诱饵密码来帮助检测违规行为。22上下文机器学习可用于了解电子邮件用户的行为、关系和时间模式,以动态检测异常或有风险的用户行为。23

前进的道路

一段时间以来,人类和人工智能一直在合作检测和预防违规行为,尽管许多组织仍处于使用网络人工智能的早期阶段。但随着传统企业网络之外的攻击面和暴露程度不断增加,人工智能提供了更多。

机器学习、自然语言处理和神经网络等方法可以帮助安全分析师区分信号和噪声。使用模式识别、有监督和无监督机器学习算法以及预测和行为分析,人工智能可以帮助识别和抵御攻击,并自动检测异常用户行为、网络资源分配或其他异常情况。人工智能可用于保护本地架构和企业云服务,尽管保护云中的工作负载和资源通常比传统的本地环境更具挑战性。

在其自己的, 人工智能(或任何其他技术,就此而言)不会解决今天或明天的复杂安全挑战。人工智能识别模式并根据事件需要实时自适应学习的能力可以加速检测、遏制和响应;帮助减轻 SOC 分析师的繁重负担;并使他们更加积极主动。这些工人的需求可能仍然很高,但人工智能将改变他们的角色。组织可能需要对分析师进行再培训和再培训,以帮助他们将注意力从分类警报和其他较低级别的技能转变为更具战略性、主动性的活动。最后,随着人工智能和机器学习驱动的安全威胁元素开始出现,人工智能可以帮助安全团队为人工智能驱动的网络犯罪的最终发展做好准备。

前线的教训

Sapper Labs 用软件对抗软件

为了帮助加拿大和美国军方、政府和关键基础设施运营商解决安全挑战,Sapper Labs Cyber​​ Solutions 提供网络安全思想领导力、情报、研发、实施、运营安全平台和培训支持,以解决复杂问题。AI 是 Sapper Labs 技术工具包中越来越重要的工具。

这家总部位于渥太华的网络防御公司的名字来源于军事术语,指的是通过监视、侦察、防御工程和其他主动防御活动支持地面部队的战斗工程师——其项目启动的前提是每个网络、系统和能力已经受到损害,而组织根本没有人力资源来防御或对抗这种情况。“人才管道的增长跟不上攻击面的增长或企业和政府创新议程的扩展,因此我们无法培养足够的人才来保护我们的机构和资产,”Sapper 的 Al Dillon 说Labs 的联合创始人兼首席执行官。“这就是 AI 提供帮助的地方。” 24

为此,Sapper Labs 正在与几个加拿大和美国的安全、国防和情报组织合作,创建人工智能系统,旨在实时灵活地适应我们对手不断变化的威胁策略和程序。这些系统可以做的不仅仅是为决策提供信息;他们可以学习如何保护自己免受威胁,无论是否有人参与。“今天,使用机器学习、人工智能和自动化的网络防御主要集中在以人为主导的网络参与上,”狄龙说。“由于当今创新的步伐以及网络和设备的激增,尤其是在组织外部,我们将需要嵌入式自动化系统功能。”

Dillon 表示,国家安全和国防组织以及其他公共和私营部门组织的共同目标应该是转向军事级、软件主导的参与:人工智能驱动的软件防御并反击支持人工智能的对手。“我们都受到民族国家行为者和其他具有同等意图、专业知识和工具的不良行为者的攻击的威胁,”他解释道。

例如,Sapper Labs 和政府机构正在开发一种多层威胁检测系统,该系统融合来自各种来源的信息和数据馈送,称为全源情报——从卫星、陆基和海基传感器到数字源等作为社交媒体和其他公共和私人网络信息。以传统方式检查这些数据可能需要人工领导的安全团队数月甚至数年。将这些数据和智能的合成过程自动化并对其应用算法,可以使评估和决策的进行速度比传统方法快 10 倍甚至 15 倍。Dillon 预计在三年内,网络人工智能和自动化技术将取得进步,他们将能够评估情报,得出结论,

狄龙说,这就是网络人工智能最棘手的问题之一。“克服网络 AI 面临的人员、社会和文化挑战将比解决技术问题困难得多,”他说。“要攀登的最大山峰将是让人们在对人类领导者做出的决定更满意时相信人工智能做出的决定,即使做出这些决定需要 50 倍的时间。”

教育是建立这种信任的关键之一。通过与其他私营公司、公共部门组织和学术机构的合作,Sapper Labs 正在努力帮助建立更广泛的自动化网络安全意识。“在技术采用和创新方面,我们正处于令人兴奋的转变中,但令人担忧的是,我们并未完全了解在捍卫国家安全、个人数据、知识产权和其他皇冠上的珠宝方面的社会影响,”狄龙说. “我们必须将支持人工智能的安全平台内部化,这可能成为我们领先于不良行为者的唯一途径。”

我的看法

Mike Chapple,信息安全负责人,圣母大学 IT、分析和运营教学教授

去年,网络安全攻击的性质发生了变化。以前,组织的主要担忧之一是勒索软件攻击,其中不良行为者将通过网络钓鱼或互联网恶意软件访问企业数据,然后加密该数据以获取赎金。这种攻击是机会主义的,因为犯罪分子会利用任何成为恶意软件牺牲品的人,而且如果组织准备好数据备份,他们并不总能成功。

现在的风险更高,因为不良行为者正在参与有组织的犯罪,类似于民族国家的网络战。我们已经看到在 COVID-19 爆发期间成为目标的医院、无法输送燃料的管道以及其他针对性很强的攻击。不良行为者的新范式是对被盗企业数据提出两种勒索威胁:扣押数据并威胁泄露敏感信息,包括客户记录和知识产权。对于拥有网络犯罪分子所需的资金和数据的大型组织而言,此类威胁尤为突出。此外,随着 5G 移动网络的采用和在家工作政策等趋势将企业技术推向传统边界之外,此类犯罪的攻击面也在不断扩大。

组织如何应对这种高风险的氛围?他们有两个选择:雇佣更多的人,这很困难,因为人才市场的技能差距正在迅速扩大,或者依靠人工智能、自动化和分析来实时检测和响应威胁。由于最近技术的转变,后一种选择——网络人工智能——正变得越来越有效。

近十年来,人们一直在谈论人工智能和网络安全的交叉点。到目前为止,这些对话都围绕着流行语和基于规则的产品展开。由于计算能力和存储容量的进步,我们现在看到网络安全供应商开始将机器学习和人工智能真正融入他们的产品中。今天,大型企业可以依靠这些供应商来推进威胁情报。

一流的网络安全供应商在许多企业中进行了部署,用作获取数据的传感器。通过将 AI 应用于来自每个客户的匿名数据,供应商可以使用来自一个组织的威胁数据来寻找其他地方类似违规行为的迹象。网络效应可能是指数级的:数据集越大、越多样化,这些供应商的检测改进得越多,他们的保护就越大。出于这个原因,中型和大型企业都可以从与托管服务提供商的合作中受益。或者,他们可以让他们的数据科学和网络安全团队合作,在他们自己的网络安全仓库中训练 AI 模型。

当今的计算能力允许开发复杂的用户和实体行为分析 (UEBA),以检测不良行为者的特征或与正常行为的偏差。UEBA 可能会标记一个在周六早上检测到下载 TB 数据的用户——这当然不是一种习惯。通过连接这些配置文件和模式,可以以更精细的方式识别威胁。

虽然这些信号一直存在,但以前分析它们并绘制有意义的模式是不切实际的。现在,这些带有 AI 标记的威胁可以输入到安全编排、自动化和响应 (SOAR) 平台中,这些平台可以关闭访问或立即采取任何其他措施。

网络安全的历史,实际上是任何类型的安全,都是一场古老的猫捉老鼠游戏。正如我们开发人工智能工具来保护自己一样,对手也在开发人工智能以进一步复杂化他们的攻击。民族国家已经进入这一领域,我们可能会在未来 18 到 24 个月内看到更多来自私人网络犯罪行为者的信息。如果组织不想成为受害者,他们会希望现在就采取行动,通过寻找 AI 支持的机会来保护他们的用户、系统和数据的未来。当网络攻击的性质不可避免地再次发生转变时,它们可以做好准备。

我的看法

美国陆军战略作战部副主任亚当·努奇

美国陆军正处于现代化之旅中,这要求我们采用数据驱动的思维方式并接受数字化转型。目标是不仅要发展武器系统和平台,还要发展流程、劳动力和文化。

随着我们的现代化,我们已经很复杂的技术环境变得更加活跃,我们面临着来自各个方面的挑战,来自各种复杂的对手。为了实现我们雄心勃勃的现代化目标,提升我们的安全态势至关重要。幸运的是,未来就是现在:有效地做到这一点所需的工具今天就在这里。但是,不仅需要集中精力将它们用于安全性,而且还需要改变交付能力、网络和人才的方式。建立自适应安全性至关重要。技术系统和传感器正在生成大量数据。高级分析技术和平台可用于快速分析这些数据并据此采取行动。

我们手头有积木。数据、分析和云计算的强大组合是以数据而非网络为中心的基于零信任的安全方法的基础——尤其是从基于网络的身份和凭证管理向以数据和设备为中心的身份访问管理迁移和最小特权访问原则。这为大规模使用网络人工智能奠定了基础。

借助机器学习、深度学习和其他人工智能技术,组织可以了解跨多个硬件和软件平台的网络安全环境;了解数据的存储位置、行为方式以及与之交互的人员;并构建攻击者配置文件并在网络环境中传播它们。人工智能和预测分析还可以帮助我们更好地了解网络安全中与人类相关的一些方面。在整个运营环境和更广泛的社会中,信息维度与几乎所有事物的结构密不可分。先进的机器学习和人工智能有可能帮助我们了解信息领域如何影响用户、我们如何做出决策以及对手的行为方式。

今天的人工智能不是通用的。它主要是为有时狭窄但主要是特定用例而构建的专用解决方案。但网络安全并不是一个仅靠技术就能解决的狭隘问题。这主要是一个 的 问题。我们的对手是多样化的和创造性的。是什么让他们打勾?为了推进网络人工智能,我们需要为网络劳动力带来同样的多样性和想象力。我们需要将传统的受过 STEM 教育、具有线性思维的网络劳动力与应用程序特立独行者和多态思想家交叉融合,他们可以根据不那么明显的联系得出推论。这不仅为模型构建和培训增加了人的维度,还创造了网络安全力量倍增器。

在数据、分析和云的驱动下,人工智能驱动的网络战略使组织能够以自动化的方式预测、检测和应对入侵。移动和低带宽环境中出现了新的挑战和机遇,但技术基础已经到位。

为了进一步实现网络人工智能,我们还需要公共部门和私营部门之间加强合作。网络安全 就是 国家安全。作为一个社会,我们需要将网络安全从事后的附加考虑提升到所有商业和政府系统的嵌入式骨干。但公共部门无法单独取得成功。凭借强大的公私合作伙伴关系以及工业界、学术界和国际合作伙伴之间的相互影响,我们可以基于传感器嵌入式系统、数据和人工智能驱动的预测分析建立不可动摇的网络安全基础。 

你准备好了吗?

  1. 由于远程工作人员、联网设备和第三方风险的增加,您的企业攻击面如何扩大,您正在采取哪些措施来保护它?
  2. 您目前如何使用 AI 工具来检测、遏制和应对网络威胁?在哪些领域可以扩展 AI 的使用以创建更主动的安全态势?
  3. 您是否具备满足当今网络安全目标所需的技能和组织结构?两年后?你打算如何获得这些技能?

学到更多

下载趋势以探索更多见解,包括阐明每个趋势的战略、财务和风险影响的“高管观点”。并查看这些链接以获取相关内容:

摘自:https://www2.deloitte.com/us/en/insights/focus/tech-trends/2022/future-of-cybersecurity-and-ai.html