現代網絡安全需要人工智能

張曉藝

早在撥號互聯網時代之前，當病毒通過受感染的軟盤傳播時，網絡安全就很重要。對手與IT專業人員之間的戰斗不斷升級，攻擊者會創建新的和不同類型的惡意軟件或攻擊，IT團隊部署新的或改進的防御方案來保護他們不斷增長的數據庫存。

在最新一輪的信息安全攻擊中，攻擊者通過新的載體部署新型威脅，并利用人工智能的力量增強這些攻擊。應對這些攻擊的唯一方法是在網絡安全防御中部署人工智能力量。

網絡安全威脅一直在增長

攻擊面正在增長。在過去，計算機獨立運行或使用封閉網絡與其他幾臺機器相連，然后是局域網、廣域網和互聯網接入。現在，一半的應用程序在云中運行，一半（或可能全部）用戶在家工作并使用移動設備訪問網絡。入侵用戶的筆記本電腦、手機或入侵基于云的應用程序，為攻擊者提供了更多潛在的網絡入口點。供應鏈攻擊構成了另一種威脅，其中來自受信任供應商的軟件也可能包含嵌入式惡意軟件，攻擊者使用受感染的應用程序或設備作為灘頭陣地來入侵網絡的其余部分。

數據呈指數級增長，這已不是新聞，但現在IT有望保護大部分或全部數據。在舊的安全模型中，InfoSec只需要篩選程序和其他可執行文件，例如啟用宏的文檔或電子表格，以確保它們沒有攜帶惡意軟件。這可能是數據的5 % ～ 10 %。但如今，即使是不可執行的數據也需要受到保護，免遭勒索軟件和盜竊———需要100 %地保護這些數據。分布式應用程序架構和混合云使服務器之間所需的通信量成倍增加，而網絡速度在過去25年中增加了2 000倍（從1995年的100 Mbit以太網到2020年的200 Gbit以太網）。更多的數據在網絡上的移動速度比以往任何時候都快。需要保護的數據呈指數級增長，需要篩選和分析的流量呈指數級增長。

法規遵從性增加了對保護什么和如何保護的要求，從而進一步增加了信息安全的負擔。必須執行額外的數據加密、訪問控制、隱私保護、身份驗證方法和報告，具體取決于哪些法規會影響組織。網絡安全專業人員現在必須實施他們認為必要的保護措施和法律要求的額外保護措施，如果遭到黑客攻擊，他們將面臨處罰或披露等要求。

對手很快就會使用人工智能來加強他們的攻擊。研究人員已經展示了人工智能如何定制網絡釣魚攻擊，以使其更有效、創建模仿名人或聽起來完全像老板的（深度偽造）聲音。域生成算法會自動生成可以傳播惡意軟件的新URL，而不會被基于DNS的安全網關列入黑名單。僵尸網絡使用簡單的人工智能概念來尋找最脆弱的機器，并解決網絡防御問題。較新的病毒已經改變了自己的代碼，反復更改它們的位置，甚至禁用或修改受感染機器上的反惡意軟件以避免檢測。這些都是用于增強網絡攻擊的基本或簡單人工智能的例子。

為應對威脅風暴的挑戰，IT安全專業人員嚴重短缺。根據美國商務部最近進行的一項研究，全國約有950 000人從事網絡安全工作，但有超過450 000個網絡安全職位空缺。

為什么需要人工智能

人工智能可在以下5個領域幫助檢測和預防發生的安全威脅：

比人類篩選更多的數據

需要檢查的數據量巨大，并且超出任何人，甚至是團隊可以合理篩選的范圍。人類信息安全調查通常僅在確認或至少懷疑違規后才會進行，當威脅有限時，少數人可以合理地對所有防病毒和防火墻警報做出反應，并有信心應對大多數安全威脅。但是現在，所有服務器上的所有數據和每個網絡連接上的所有流量都可能受到懷疑，可信用戶與通過VPN連接的不可信用戶混在一起、Web應用程序網關和基于云的應用程序。使用傳統日志記錄或遙測工具的人，每天最多只能采樣幾千兆的數據，但基于AI的網絡安全每天可以審查和分析TB級的數據，以檢測惡意軟件、黑客攻擊、數據泄露以及成功或正在進行的證據攻擊。

捕捉可疑行為，而不僅僅是可疑位

老派的威脅以固定的、可識別的形式出現，絕大多數組織只要定期更新安全軟件簽名，就會受到保護。現在，高級惡意軟件會自我修改，黑客的工具包可讓不法分子每天甚至每小時創建新的惡意軟件。新的漏洞利用和病毒通常會在安全公司分發更新的簽名之前攻擊數據中心，這些零日攻擊以前從未出現過，因此它們不會出現在任何威脅數據庫中。人工智能驅動的安全性可以通過發現可疑行為而不是僅掃描已知簽名來檢測這些威脅。可以訓練AI識別可疑的應用程序行為或流量模式以檢測新的攻擊，即使特定攻擊以前從未見過。

識別應用程序和網絡中的錯誤、漏洞和錯誤

AI有能力通過發現和解決惡意軟件和泄露敏感數據之外的問題來提高安全性。它可以掃描應用程序、服務器和網絡日志以識別錯誤配置、過時的軟件或不正確的設置。AI還可以在部署之前掃描應用程序代碼或在流片之前掃描芯片設計，以幫助在產品投入使用之前發現漏洞。這些用途不會發現威脅或病毒，但會消除系統、應用程序和網絡漏洞，從而降低黑客攻擊成功的可能性。

識別充當人類的機器和充當機器的人類。

用戶對自己進行身份驗證以訪問應用程序，各種應用程序、Web、數據庫和中間件服務器也對其他機器進行身份驗證以共享數據。如果僵尸網絡學會模仿人類員工的行為，會發生什么？如果對手假裝是受信任的服務器怎么辦？人工智能驅動的安全學習正常的流量和數據訪問模式，并可以快速檢測機器是否在冒充合法用戶（機器為人）。它還可以檢測攻擊者何時冒充受信任的機器來訪問敏感數據（人即機器）。

識別前所未見或零日威脅

傳統的安全軟件引用了一個已知惡意軟件簽名的數據庫，這些簽名應該被阻止進入數據中心。問題是惡意軟件簽名的數據庫，敏感信息無法快速更新以跟上新的惡意軟件創建或自我修改的惡意軟件。人工智能驅動的安全性可以通過識別可疑的行為模式或網絡流量來識別零日攻擊，而無需依賴固定的簽名數據庫。人工智能可以識別敏感信息的類別或類型，而不只是注意到與嚴格的預定義列表匹配的信息。

隨著數據量、攻擊面和威脅數量的不斷增長，人工智能技術是唯一合理的應對措施。人工智能驅動的數據科學提供了覆蓋所有相關機器和網絡流量的規模，以及識別信息安全團隊及其軟件工具，包括以前從未見過的許多新威脅和漏洞。