观点:攻防对抗终将转变为AI大战,几乎每天我们都能看到大型数据泄露的新闻,远的不说,就最近的雅虎10亿数据泄露事件就是一个很好的例子,导火索还是因为一封钓鱼邮件。安全人员不断改变着战略,但是在和黑客的战争中似乎还是失败了。
好在,近几年我们有了一个好帮手,那就是人工智能(Artificial intelligence)。人工智能相比人类能够保持时刻警惕,在发现异常行为后能够及时的警告用户有新的威胁出现。
安全专家友情提醒,尽管AI并不能在所有场合都表现得尽善尽美,但是机器学习、自适应性智能配上海量数据模型对于黑客攻击的识别速度绝对比所有地球人都要快的多。
生物识别安全公司HYPR的CEO兼共同创始人,George Avetisov说,
现在有一些基于网络安全分析的突破性AI解决方案。
由于考虑到人类的因素,威胁情报以及事件发现背后的过程仍然非常缓慢。 AI正在通过大大提高处理这种智能的速度来改变识别威胁的速度并减轻攻击造成的损害。
抛弃过去数十年中大公司使用的基于规则的引擎是必须做出的改变—— AI可以实时地适应和学习威胁,而分析经常碎片化和彼此重叠的大数据集对于AI来说也不在话下。
在这种情况下,人类操作员的工作就只需要清除错误,并且以越来越高的程度确保反馈给AI引擎的数据是准确和鲁棒的。从某些角度来说,AI只能做到它所能分析的,但是有意思的是,AI还能根据当前的数据集预测行为,我们可以根据可能导致事故的情况调整自己的安全基础设施。
新的思路
一直以来,AI几乎都是用于侦测木马,识别钓鱼攻击,防止强力入侵。
在将来,我们每天依赖的各种服务都可能加入AI,比方说Gmail,当你收到一封看似无害的邮件时,AI可以帮助扫描所有的变量,如发送的IP地址,位置数据,电子邮件中的单词选择和短语以及其他因素,最终提醒你这其实是一封钓鱼邮件。
AI在阻止黑客攻击的用途中最有趣的一点就是分类功能。据研究发现,AI具备衡量威胁等级的能力,而人类往往需要付出更多的努力。
AI会监控为入侵检测系统和事件取证应用程序而获得的学习能力,这种学习能力是利用神经网络作用于实体和模式识别而得到的。AI可以对实体和事件进行分类,来减少识别的问题的平均时间,同时分析攻击背后的行为。比如,攻击者想要干什么,这种攻击会对我的企业造成什么样的危害,我的业务存在什么风险,还有攻击本身的影响分析。
另一个关心的焦点就是,拥有了一台人工智能是否就能检查整个网络流量?
由于现在还没有一套关于数据的规则,且有些危险代理还未被检测出来。就目前水平来说,要阻止危险的邮件和附件可能还是很困难。AsTech咨询公司的首席安全策略师Nathan Wenzler解释说,相比电子取证安全更倾向于在破坏发生后观察损失情况,人工智能能够实时地获取数据,寻找模式并阻止网络流量。
威胁检测公司PacketSled的CEO/CTO Fred Wilmot对所有这些AI进展提出了一个有趣的观点。 在未来几个月或是几年中,安全专业人员将更多地依赖机器学习,他们的角色可能会变得更像是创建学习模型的AI工程师。目前,人工智能仍然不够成熟,特别是在金融部门。
AI是把双刃剑
Avetisov在讲话中提到了一个AI的副作用。虽然安全专业人员可以依靠AI的帮助来阻止恶意软件的攻击或是其他入侵,但是黑客也可以学习AI。这是一次反击,因为黑客也在使用机器学习找到我们的弱点。
黑客的社区与安全研究开发者社区一样复杂。 他们同样也会使用AI技术,如智能网络钓鱼,可以分析潜在目标的行为以确定使用何种类型的攻击;黑客的“智能恶意软件”能够检测到是否被监控,以便它隐藏起来。
来自AsTech咨询的Wenzler对此表示认同:
“我们已经看到了越来越多变种的攻击,使攻击更难预测和防御。现在,利用机器学习概念,黑客有能力构建恶意软件,来了解目标的网络并即时更改其攻击方法。”
可以预见,AI程序可能将被犯罪者用于一些网络犯罪中,尽管这种攻击更加复杂,花费的代价也更大。只要这种形式的犯罪存在就会激励人工智能的发展。
最终,网络战争的战火可能将在AI机器人之间延续。