如今�,隨著技術(shù)的的發(fā)展��,數(shù)據(jù)中心網(wǎng)絡(luò)變得越來(lái)越快��,越來(lái)越大�,越來(lái)越難以保護(hù)。
網(wǎng)絡(luò)所傳播的數(shù)據(jù)量超出人類(lèi)可以人工監(jiān)控的數(shù)量�����。雖然安全專(zhuān)業(yè)人員數(shù)量也在增長(zhǎng)�����,但無(wú)法滿(mǎn)足需求����。
當(dāng)網(wǎng)絡(luò)攻擊者使用全新的攻擊媒介攻擊時(shí)�����,網(wǎng)絡(luò)運(yùn)營(yíng)的情況將會(huì)更加糟糕��。當(dāng)他們使用已知的方法時(shí),將會(huì)不堪重負(fù)�����,并且安全團(tuán)隊(duì)因?yàn)樘幚泶罅渴聞?wù)而難以承受�����。
網(wǎng)絡(luò)攻擊者的武器庫(kù)變得越來(lái)越強(qiáng)大�。開(kāi)源人工智能工具的可用性意味著他們可以比以往更快地部署更復(fù)雜和更具破壞性的攻擊。
與此同時(shí)�,受害者的違規(guī)行為的代價(jià)也越來(lái)越高昂。對(duì)于規(guī)模較小的企業(yè)而言���,丟失敏感數(shù)據(jù)或勒索客戶(hù)文件的勒索軟件攻擊可能會(huì)讓公司倒閉��。
專(zhuān)家表示�,通過(guò)機(jī)器學(xué)習(xí)增強(qiáng)安全功能不僅有助于提高安全性�,而且變得越來(lái)越有必要。
數(shù)據(jù)中心運(yùn)營(yíng)商如果不采用人工智能和機(jī)器學(xué)習(xí)來(lái)通過(guò)自動(dòng)化實(shí)現(xiàn)基于行為的安全提供支持�����,特別是在攻擊的響應(yīng)和補(bǔ)救方面�����,將因?yàn)闊o(wú)法跟上威脅技術(shù)的發(fā)展而使自己變得脆弱?!盨entinelOne公司產(chǎn)品管理總監(jiān)MigoKedem說(shuō),SentinelOne公司是一家位于加利福尼亞州山景城的安全廠(chǎng)商�。
安全廠(chǎng)商正在為其產(chǎn)品添加人工智能和機(jī)器學(xué)習(xí),以更好地檢測(cè)威脅�����,幫助企業(yè)自動(dòng)化他們的響應(yīng)����,并幫助進(jìn)行攻擊的取證分析。
威脅檢測(cè)
用于威脅檢測(cè)的三種主要機(jī)器學(xué)習(xí)技術(shù)是分類(lèi)�、異常檢測(cè)和風(fēng)險(xiǎn)評(píng)分。
例如��,如果存在大量已知惡意行為和已知良好行為的集合�����,則可以訓(xùn)練機(jī)器學(xué)習(xí)系統(tǒng)以對(duì)這兩個(gè)類(lèi)別之間的新行為進(jìn)行分類(lèi)���。
該技術(shù)目前用于改進(jìn)惡意軟件檢測(cè)�����。例如�����,通過(guò)在良好軟件和惡意軟件的示例進(jìn)行訓(xùn)練來(lái)區(qū)分�����。
通過(guò)異常檢測(cè)���,系統(tǒng)可以了解網(wǎng)絡(luò)上的典型行為,并查找任何異常情況�����。
Awake Security公司聯(lián)合創(chuàng)始人Debabrata Dash說(shuō)���,數(shù)據(jù)中心網(wǎng)絡(luò)特別適合利用異常檢測(cè)技術(shù)�����。
“數(shù)據(jù)中心網(wǎng)絡(luò)通常通過(guò)DevOps進(jìn)行良好控制和實(shí)現(xiàn)自動(dòng)化����。”他說(shuō)�,“鑒于這種環(huán)境,通常機(jī)器學(xué)習(xí)可以檢測(cè)到的活動(dòng)通常比一般的企業(yè)環(huán)境更具安全性�����?���!?/p>
分類(lèi)和異常檢測(cè)可能會(huì)產(chǎn)生許多潛在的威脅。風(fēng)險(xiǎn)評(píng)分技術(shù)可以對(duì)它們進(jìn)行排序�,因此安全人員可以?xún)?yōu)先考慮可能造成最大損害的人員。
風(fēng)險(xiǎn)評(píng)分不僅有助于識(shí)別潛在威脅����,還有助于發(fā)現(xiàn)網(wǎng)絡(luò)中的弱點(diǎn),并建議首先需要修復(fù)哪些漏洞���。
首先要充分了解網(wǎng)絡(luò)上的設(shè)備�、應(yīng)用程序和用戶(hù)����,以及是否所有內(nèi)容都已正確配置并完全修補(bǔ)。這并不像聽(tīng)起來(lái)那么簡(jiǎn)單���,因?yàn)榫W(wǎng)絡(luò)和風(fēng)險(xiǎn)都可能快速變化��,需要修復(fù)的事物數(shù)量很快就會(huì)超過(guò)可用時(shí)間�。
安全廠(chǎng)商Balbix公司創(chuàng)始人兼首席執(zhí)行官GauravBanga表示��,機(jī)器學(xué)習(xí)有助于擴(kuò)展人類(lèi)在分析網(wǎng)絡(luò)狀態(tài)和行為方面的專(zhuān)業(yè)知識(shí)��。它還可以幫助評(píng)估現(xiàn)有的安全控制措施是否足夠�����,并進(jìn)行適當(dāng)校準(zhǔn)���。
Gartner公司將此稱(chēng)為“風(fēng)險(xiǎn)感知漏洞管理”����。此類(lèi)別中最先進(jìn)的產(chǎn)品還可以評(píng)估每個(gè)可能的漏洞的業(yè)務(wù)風(fēng)險(xiǎn)并提出修復(fù)建議���。
機(jī)器學(xué)習(xí)輔助取證
當(dāng)安全專(zhuān)業(yè)人員正在調(diào)查事件時(shí)����,從不同的系統(tǒng)中提取日志并掃描它們以獲取相關(guān)信息需要時(shí)間。
機(jī)器學(xué)習(xí)驅(qū)動(dòng)的取證通過(guò)立即提取他們最有可能想要看到的數(shù)據(jù)來(lái)簡(jiǎn)化這一過(guò)程�。
響應(yīng)自動(dòng)化
一旦識(shí)別出威脅,處理越快�,損害越小。一些響應(yīng)實(shí)現(xiàn)自動(dòng)化可以減少反應(yīng)時(shí)間��,并釋放安全團(tuán)隊(duì)的負(fù)擔(dān)�,使其專(zhuān)注于更具挑戰(zhàn)性的問(wèn)題。但是創(chuàng)建自動(dòng)化腳本本身很耗時(shí)���。工作人員希望通過(guò)人工智能����,系統(tǒng)將對(duì)企業(yè)的事件響應(yīng)歷史進(jìn)行培訓(xùn)�,并為行動(dòng)提出建議。
在提供最大價(jià)值的同時(shí)風(fēng)險(xiǎn)最小的建議可以自動(dòng)執(zhí)行��,而其他建議則提交給分析師批準(zhǔn)�。
而企業(yè)遇到一個(gè)重大障礙是數(shù)據(jù)中心經(jīng)常使用多個(gè)安全解決方案,這些解決方案彼此之間無(wú)法很好地兼容��。
安全專(zhuān)家Fortinet公司產(chǎn)品和解決方案高級(jí)副總裁John Maddison說(shuō):“組織將他們的安全系統(tǒng)整合到一個(gè)單一的整體安全結(jié)構(gòu)中����,提供單一的管理和可見(jiàn)性是至關(guān)重要的����。由于缺乏可見(jiàn)性�����,大多數(shù)數(shù)據(jù)中心缺乏真正的自動(dòng)化����。最安全的數(shù)據(jù)中心能夠根據(jù)適當(dāng)?shù)目梢?jiàn)性捕獲威脅���,并使用自動(dòng)化來(lái)隔離可疑用戶(hù)����?�!?/p>
一旦人工完全部署在數(shù)據(jù)中心�����,這是否意味著將不再需要安全專(zhuān)家?并不是這樣��,因?yàn)槿斯ぶ悄芸梢宰龅娜匀挥邢蓿琂uniper網(wǎng)絡(luò)公司網(wǎng)絡(luò)安全策略師Nick Bilogorskiy表示��。
他說(shuō)���,“真正的問(wèn)題是如何正確使用����、解釋?zhuān)闹械贸稣_的結(jié)論���。就目前而言�����,我們?nèi)匀环浅P枰茖W(xué)家來(lái)做這件事���。”
