探索AI在網(wǎng)絡(luò)安全中的六個最常見角色以及能將它們綜合的產(chǎn)品

公司越來越多地轉(zhuǎn)向AI，以幫助他們在現(xiàn)代IT環(huán)境中進(jìn)行安全性工作。數(shù)據(jù)，設(shè)備，處理能力，算法和網(wǎng)絡(luò)系統(tǒng)的指數(shù)級增長(對于21世紀(jì)競爭的任何企業(yè)而言都是寶貴的資產(chǎn))都伴隨著新的風(fēng)險和漏洞。Gartner引用數(shù)據(jù)安全，基礎(chǔ)設(shè)施保護(hù)和云安全作為增長最快的安全支出領(lǐng)域，根據(jù)2018年12月的報告，Gartner估計(jì)公司將在2019年在網(wǎng)絡(luò)安全風(fēng)險管理上花費(fèi)約1,370億美元。

在這種新現(xiàn)實(shí)中，公司意識到被動措施還不夠。他們不僅必須擴(kuò)展和自動執(zhí)行威脅響應(yīng)程序，還必須制定積極的措施。

AI功能由一系列技術(shù)提供動力，例如機(jī)器學(xué)習(xí)，深度學(xué)習(xí)，計(jì)算機(jī)視覺和自然語言處理，以檢測模式并進(jìn)行推理。在網(wǎng)絡(luò)安全領(lǐng)域，人工智能在網(wǎng)絡(luò)安全中的作用是識別用戶，數(shù)據(jù)，設(shè)備，系統(tǒng)和網(wǎng)絡(luò)行為的模式，以區(qū)分異常與正常。它還可以幫助管理員分析海量數(shù)據(jù)并調(diào)查新威脅類型的海嘯，并更快地響應(yīng)并預(yù)先解決威脅。

根據(jù)對網(wǎng)絡(luò)安全市場和供應(yīng)商的Kaleido Insights的研究和分析，以下是六個常見用例，其中眾多供應(yīng)商中的一些為下一代網(wǎng)絡(luò)安全產(chǎn)品鋪平了道路。

1.人類安全分析師和SOC擴(kuò)充

人工智能在網(wǎng)絡(luò)安全中最常見的用例之一是對人類分析師的支持。畢竟，人工智能不太可能取代有經(jīng)驗(yàn)的安全分析師。在機(jī)器擅長的領(lǐng)域，例如，分析大數(shù)據(jù)，消除疲勞并使人們擺脫繁瑣的任務(wù)，這樣他們就可以利用更加復(fù)雜的技能，例如創(chuàng)造力，細(xì)微差別和專業(yè)知識，來增強(qiáng)人們的能力。在某些情況下，分析人員擴(kuò)充涉及將預(yù)測分析合并到安全運(yùn)營中心(SOC)工作流中，以進(jìn)行分類或查詢大數(shù)據(jù)集。

Darktrace的Cyber?? AI Analyst是一個軟件程序，通過僅顯示高優(yōu)先級事件來支持人類分析師。同時，它查詢海量數(shù)據(jù)并在整個網(wǎng)絡(luò)中樞轉(zhuǎn)以收集調(diào)查背景，進(jìn)行調(diào)查并整理低優(yōu)先級案件。通過分析Darktrace自己的專家分析師如何調(diào)查警報來訓(xùn)練在數(shù)千個部署中開發(fā)的數(shù)據(jù)集，Cyber?? AI Analyst使用各種機(jī)器學(xué)習(xí)，深度學(xué)習(xí)和數(shù)學(xué)技術(shù)來處理n維數(shù)據(jù)，以機(jī)器速度生成數(shù)千個查詢并進(jìn)行調(diào)查所有并行威脅同時發(fā)生。

2.新的攻擊識別

盡管惡意軟件或其他類型的威脅檢測已經(jīng)存在了很多年-通常將可疑代碼與基于簽名的系統(tǒng)相匹配-AI現(xiàn)在正在將技術(shù)轉(zhuǎn)向推理以預(yù)測新的攻擊類型。通過分析大量數(shù)據(jù)，事件類型，來源和結(jié)果，人工智能技術(shù)能夠識別新穎的攻擊形式和類型。這是至關(guān)重要的，因?yàn)楣艏夹g(shù)會隨著其他進(jìn)步而不斷發(fā)展。

FireEye Inc.在其MalwareGuard產(chǎn)品中提供了一種有希望的新攻擊識別示例。它使用機(jī)器學(xué)習(xí)算法查找尚未創(chuàng)建簽名或不存在簽名的新式，變形或高級攻擊。它的引擎利用私人和公共數(shù)據(jù)源，包括大約1700萬個已部署的端點(diǎn)安全代理，基于花費(fèi)的超過100萬小時的攻擊響應(yīng)時間進(jìn)行的攻擊分析，以及在全球和多語言的安全分析師網(wǎng)絡(luò)中收集的對抗性情報。

3.行為分析和風(fēng)險評分

在諸如廣告之類的不太關(guān)鍵的領(lǐng)域中首創(chuàng)的行為分析技術(shù)現(xiàn)在正朝著用于身份驗(yàn)證和反欺詐的關(guān)鍵用例發(fā)展。在這里，AI算法挖掘大量的用戶和設(shè)備行為模式，地理位置，登錄參數(shù)，傳感器數(shù)據(jù)以及無數(shù)其他數(shù)據(jù)集，以得出用戶或真實(shí)身份的得分或可能性。

萬事達(dá)卡的NuData Security是一個利用多因素大數(shù)據(jù)分析來評估風(fēng)險并為端點(diǎn)和用戶安全性開發(fā)每個事件的動態(tài)配置文件的平臺。該公司使用機(jī)器和深度學(xué)習(xí)來分析四個領(lǐng)域：

行為數(shù)據(jù)：瀏覽器類型，流量變化，瀏覽速度和頁面停留時間。

被動生物識別技術(shù)：唯一用戶的打字速度，設(shè)備角度，擊鍵和壓力。

設(shè)備智能：特定設(shè)備的已知連接與新連接，位置和網(wǎng)絡(luò)交互。

行為信任協(xié)會：萬事達(dá)卡(Mastercard)的大數(shù)據(jù)存儲庫，可在人口級別分析數(shù)十億個數(shù)據(jù)點(diǎn)。

4.基于用戶的威脅檢測

從流氓內(nèi)部人員到特權(quán)濫用和管理濫用再到邪惡行為者，人類代表著網(wǎng)絡(luò)風(fēng)險的重要而多樣的媒介。結(jié)果，出現(xiàn)了AI技術(shù)，以檢測用戶在IT環(huán)境中的交互方式的變化并在攻擊的情況下表征其行為。

LogRhythm Inc.正在使用其下一代SIEM平臺CloudAI進(jìn)行基于用戶的威脅檢測。具體來說，該公司將不同的用戶帳戶(VPN，工作電子郵件，個人云存儲)以及相關(guān)的標(biāo)識符(例如用戶名和電子郵件地址)映射到實(shí)際用戶的身份，以建立全面的行為基準(zhǔn)和用戶配置文件。此外，CloudAI旨在隨著時間的推移而發(fā)展，以用于當(dāng)前和將來的威脅檢測。分析師在正常的調(diào)查過程中對系統(tǒng)進(jìn)行培訓(xùn)，并從整個平臺的擴(kuò)展客戶群中收集數(shù)據(jù)以進(jìn)行威脅培訓(xùn)。CloudAI還可以配置模型以通過連續(xù)調(diào)整進(jìn)行自我修復(fù)，而無需人工干預(yù)。

VectraAI Inc.通過分析攻擊生命周期對這種用例采用了差異化的方法。Cognito平臺使用約60種機(jī)器學(xué)習(xí)模型來分析攻擊者在攻擊生命周期中可能執(zhí)行的所有行為-包括遠(yuǎn)程訪問工具，隱藏的隧道，后門，偵察工具，憑據(jù)濫用和滲透-其Cognito平臺聲稱將傳統(tǒng)方法轉(zhuǎn)變?yōu)橛脩魹榉烙咛峁┒喾N機(jī)會來檢測攻擊者，從而實(shí)現(xiàn)基于威脅的威脅檢測。

5.跨端點(diǎn)終止鏈的設(shè)備上檢測

企業(yè)中移動設(shè)備的興起迎來了網(wǎng)絡(luò)安全威脅的新時代，并改變了端點(diǎn)安全的性質(zhì)。企業(yè)通常管理傳統(tǒng)的端點(diǎn)(如筆記本電腦)，而如今的移動“系統(tǒng)管理員”是最終用戶。無論是員工，消費(fèi)者還是黑客，此人都決定下載，應(yīng)用程序，通信渠道和網(wǎng)絡(luò)交互。此外，應(yīng)用程序通常位于自己的容器中，從而限制了傳統(tǒng)的補(bǔ)丁程序管理。這種根本不同的配置意味著，攻擊者旨在通過提供根訪問漏洞，破壞整個設(shè)備，同時有效避開企業(yè)網(wǎng)絡(luò)來保持持久性。結(jié)果，移動端點(diǎn)保護(hù)必須確保整個殺傷鏈-從網(wǎng)絡(luò)釣魚試圖偽造應(yīng)用程序或網(wǎng)絡(luò)到各種形式的不同惡意攻擊。在這里，管理員可以跨每種攻擊媒介應(yīng)用機(jī)器學(xué)習(xí)，而不是為每種攻擊媒介部署不同的檢測系統(tǒng)，以便預(yù)測任何給定點(diǎn)交互威脅系統(tǒng)性接管的可能性。

Zimperium是一家專門從事移動端點(diǎn)安全的公司，它使用機(jī)器學(xué)習(xí)在整個移動終止鏈中提供設(shè)備上的檢測，從而監(jiān)視所有惡意軟件，網(wǎng)絡(luò)釣魚，設(shè)備，應(yīng)用程序和網(wǎng)絡(luò)交互。盡管目前不在設(shè)備上運(yùn)行機(jī)器學(xué)習(xí)模型，但Zimperium在通過基于云的深度學(xué)習(xí)技術(shù)派生的設(shè)備上部署了基于機(jī)器學(xué)習(xí)的檢測。它可在超過7,000萬臺設(shè)備中使用，可監(jiān)視所有惡意軟件，網(wǎng)絡(luò)釣魚，設(shè)備，應(yīng)用程序和網(wǎng)絡(luò)交互中所有媒介的匿名數(shù)據(jù)，并使用云分析特定的攻擊路徑，識別信號中的噪聲，運(yùn)行測試方案并將分類器部署到改進(jìn)邏輯和算法，然后將其應(yīng)用于設(shè)備上的檢測。此提要-提要-提要-提要反饋環(huán)路對于在攻擊或?qū)崿F(xiàn)持久接管之前最好地檢測整個殺傷鏈中的當(dāng)前和新威脅類型至關(guān)重要。

6.斷開連接的環(huán)境中的主動安全性

隨著數(shù)據(jù)和設(shè)備滲透到物理世界中，確保并減少平均檢測時間和平均響應(yīng)時間的能力成為連接性和計(jì)算能力的問題。日益復(fù)雜的技術(shù)基礎(chǔ)架構(gòu)意味著對其運(yùn)營的安全性，安全性和效率的更高要求，這對于在航空，能源，國防和海事等關(guān)鍵任務(wù)環(huán)境中實(shí)現(xiàn)數(shù)據(jù)價值至關(guān)重要。在這些環(huán)境中，仍需要大量計(jì)算密集型AI應(yīng)用程序，但新技術(shù)不斷涌現(xiàn)，可通過本地支持促進(jìn)基于機(jī)器學(xué)習(xí)的腳本，文件，文檔和惡意軟件分析的安全性。

稱自己為AI公司而非安全公司的SparkCognition支持不連接環(huán)境中的應(yīng)用程序。在當(dāng)前使用911調(diào)度中心進(jìn)行部署的情況下，由于其托管的敏感信息，該地方往往在不連貫的環(huán)境中運(yùn)行，SparkCognition的DeepArmor通過現(xiàn)場管理控制臺運(yùn)行。具體來說，DeepArmor使用機(jī)器學(xué)習(xí)對大約20,000個獨(dú)特文件功能進(jìn)行靜態(tài)文件分析，以確定在幾秒鐘內(nèi)惡意活動的可能性。盡管管理員必須在這些環(huán)境中手動執(zhí)行模型更新，但DeepArmor沒有簽名，這意味著它不需要每日簽名掃描。