我们在安全产品宣传中听到的许多关于人工智能和机器学习的内容大部分都是为了营销,外人很难从中知道这些工具的真实能力。以下我们将为大家详细介绍一下目前安全领域中人工智能和机器学习的状态。
也就是说,作为人工智能众多子领域之一的机器学习(ML)反倒是被整合到了一些安全软件当中。但即便是机器学习这个术语,人们的态度也有些过于乐观。
尽管如此,当机器学习使用来自环境的大量数据进行训练,尤其是环境中的使用者清楚自己的目标,那么机器学习可以变得非常有效。
IDC全球安全产品研究主管Chris Kissel表示,机器学习的优势之一是异常检测,这是用户和实体行为分析(UEBA)的基础。他表示:“UEBA功能的定义为确定指定设备的收发行为是否异常。”UEBA生来就非常适用于许多重大网络安全防御行为。
在机器学习系统得到充分且良好的训练后,大多数情况下就已经完成了对已知良性事件的定义。这使威胁情报或安全监控系统可以专注于识别异常情况。如果供应商仅使用自己的通用数据对系统进行训练,那么会发生什么情况?如果机器学习没有足够多的事件进行训练呢?亦或是用于训练的事件中充斥着没有经过识别的极值,并且这些极值还不幸成为了背景噪音中的一部分呢?用户可能会被企业威胁检测软件无休止的误报而困扰。如果没有对机器学习系统进行持续的训练,那么你将无法享受到机器学习的真正优势。随着时间的流逝,系统的使用效果将越来越差。
除了上述之外,机器学习还可以简化流程并为安全运营中心(SOC)人员提供建议。这些都展现了以更为强大的人工智能为基础的系统将具有光明前景。以下是它们正在发挥作用的领域。
一些专家认为,目前根本没有任何基于人工智能的产品。这种说法可能有些过于武断。人工智能可以作为一个总称,用来表示一系列广泛的技术,这其中包括技术层面上并不属于人工智能的机器学习技术。在最严格的意义上,人工智能指具有认知能力的计算机系统。Domo的CISO和SVP信任与安全部门的Niall Browne并不信任目前“基于人工智能”的安全产品。他说:“人工智能具有巨大的潜力,并将在未来的安全领域中发挥关键作用。尽管如此,却很少有人在企业安全中持续部署人工智能。”不过,他也承认机器学习确实具备安全用途。
GreyCastle Security首席执行官Reg Harnish对此总结道:“今天,许多声称自己的产品具备人工智能功能的软件供应商不是想办法使产品具备智能而是故意曲解原有规则。”那么CSO/CISO应当如何问询安全产品供应商,才能避免被机器学习的虚假宣传所坑骗呢?
Delphi创始人兼云存储初创公司Wasabi顾问Tom Koulopoulos指出,“首先要问的一个关键问题是:它们是如何学习的?因为你需要了解训练机器学习或人工智能的具体机制。其次要分别需要多少数据?再训练的频率是多少?与算法的协作机制是什么?人类怎么给它们打分?机器学习或人工智能使用的是存档的数据集还是在线数据?”
作为IEEE成员的Integral Partners公司信息安全主管Kayne McGladrey给出了如下建议,“首先要在实验室内的用户环境复制品中对基于人工智能的安全解决方案展开评估。然后聘请一个声誉良好的团队模拟现实中的黑客反复尝试突破这一环境。”
安全部门开发出了新的保护措施,网络犯罪分子就开始千方百计地企图突破它们。人工智能将会以极快的速度提升企业的防护能力。想象一下,全球的智能犯罪系统每时每刻都在试图入侵银行、医院和能源公司。当然,这些企业和公司中的人工智能系统也在时刻不停地进行工作,以阻止这些网络犯罪分子。这些都是人工智能在未来需要面对的挑战和机遇。
原文作者:Scot Finnie
