現(xiàn)在，人類能力和可用資源明顯不足以抵御所有攻擊，我們需要增加機(jī)器智能來保護(hù)網(wǎng)絡(luò)。

在現(xiàn)在這個(gè)龐大而復(fù)雜的網(wǎng)絡(luò)中，人類無法通過傳統(tǒng)安全工具來檢測和識別每個(gè)威脅。我們需要通過機(jī)器智能來提高人類的能力，人與機(jī)器相結(jié)合可用提高識別和阻止威脅的能力，在某些方面這類似于機(jī)械戰(zhàn)警。

[[137062]]

現(xiàn)在企業(yè)使用的安全工具并沒有什么用，這是因?yàn)閮蓚€(gè)令人驚訝的原因。第一個(gè)是攻擊者在被發(fā)現(xiàn)之前可自由控制系統(tǒng)的時(shí)間量：在Premera和P.F.Chang攻擊事件中為8個(gè)月，Nieman Marcus為6個(gè)月，Home Depot為5個(gè)月等。

第二個(gè)是響應(yīng)情況。大家通常都會往后看，試圖找出外部攻擊者是如何入侵。雖然找出泄露事故并阻止泄露非常重要，但這種做法更像是尋找癥狀，而不是治療疾病。

Premera、索尼、Target等公司花了幾個(gè)月時(shí)間來檢測其網(wǎng)絡(luò)中的攻擊者，并開始修復(fù)讓他們成功入侵的漏洞，那么，他們怎么可以確保其他攻擊者不會發(fā)現(xiàn)另一個(gè)漏洞呢?他們怎么知道其他攻擊者現(xiàn)在沒有在順手竊取數(shù)據(jù)呢?他們當(dāng)然不知道。

典型的響應(yīng)

在過去，大多數(shù)公司僅有一種響應(yīng)做法來應(yīng)對不斷增加的威脅，現(xiàn)在他們?nèi)匀辉谑褂眠@種響應(yīng)方法。他們重新加強(qiáng)系統(tǒng)、防火墻和IDS/IPS規(guī)則及閾值，并部署更嚴(yán)格的Web代理服務(wù)器和VPN政策。但這樣做會讓事件響應(yīng)小組淹沒在警報(bào)中。

更嚴(yán)格的政策會讓已經(jīng)捉襟見肘的安全團(tuán)隊(duì)的工作變動更加困難。這會導(dǎo)致每天數(shù)以千計(jì)的誤報(bào)，讓安全團(tuán)隊(duì)根本不可能調(diào)查每個(gè)警報(bào)。從最近的攻擊事故來看，海量的警報(bào)可以幫助惡意活動流入內(nèi)部，即使它被“抓住了”，也不會有什么行動。

此外，加緊安全規(guī)則和程序只會浪費(fèi)大家的時(shí)間。按照設(shè)計(jì)，更嚴(yán)格的政策會限制對數(shù)據(jù)的訪問，并在很多情況下，員工需要這些數(shù)據(jù)來做好自己的工作。員工和部門會開始要求獲取他們所需要的工具和信息，這會浪費(fèi)他們寶貴的工作時(shí)間，還需要IT/安全團(tuán)隊(duì)來嚴(yán)格審查每個(gè)請求。

機(jī)械戰(zhàn)警

現(xiàn)在，人類能力和可用資源明顯不足以抵御所有攻擊，我們需要增加機(jī)器智能來保護(hù)網(wǎng)絡(luò)，這有點(diǎn)像電影《機(jī)械戰(zhàn)警》中，讓機(jī)器戰(zhàn)警來保護(hù)街道，但在這種情況下，主要算法是統(tǒng)計(jì)算法。更具體而言，統(tǒng)計(jì)數(shù)據(jù)可以用來發(fā)現(xiàn)異常和潛在惡意活動。

根據(jù)SANS研究所分析師Dave Shackleford表示，“安全企業(yè)面臨的最大挑戰(zhàn)之一是缺乏可視性。”在其2014年分析和情報(bào)調(diào)查中，對于為什么難以檢測問題，350名IT專業(yè)人士的主要回答是他們無法理解和確定“正常行為”基準(zhǔn)。這是人們在復(fù)雜環(huán)境做不到的事情，而由于我們無法區(qū)分正常行為，我們無法看到異常行為。

而機(jī)器可以學(xué)習(xí)正常行為是什么樣，并可以實(shí)時(shí)調(diào)整，在處理更多信息后，它們可以變得更加聰明。更重要的是，機(jī)器可以快速處理網(wǎng)絡(luò)創(chuàng)建的海量信息量，并且它們可以接近實(shí)時(shí)做到這一點(diǎn)。有些網(wǎng)絡(luò)每秒要處理TB級的數(shù)據(jù)，在另一方面，人類每秒只能處理每秒60比特。

暫且不論速度和處理能力的需要，傳統(tǒng)監(jiān)測的更大問題是規(guī)則沒什么用。人類設(shè)置規(guī)則告訴機(jī)器如何行動和做什么，而與速度和處理能力無關(guān)。雖然基于規(guī)則的監(jiān)測系統(tǒng)非常復(fù)雜，它們?nèi)匀皇腔?ldquo;如果是這樣，那么那樣做”的公式。真正可以提高安全的做法是讓機(jī)器自己思考(+微信關(guān)注網(wǎng)絡(luò)世界)，以及提供更好的數(shù)據(jù)。

想象一下，在現(xiàn)實(shí)世界中，有人每天推著滿是污垢的獨(dú)輪車通過海關(guān)，海關(guān)人員很遵守其工作規(guī)則，每天都檢查這些污垢，從來沒有發(fā)現(xiàn)他們認(rèn)為他們在找的東西。即使同一個(gè)人反復(fù)推著滿是污垢的獨(dú)輪車通過邊界，沒有人會想過看看獨(dú)輪車。如果他們有這么想過，他們很快會發(fā)現(xiàn)他一直在偷手推車。

只是因?yàn)闆]人告訴海關(guān)人員尋找被盜的手推車，當(dāng)然，這是事后諸葛亮。在數(shù)字世界中，我們不必依靠事后諸葛亮，因?yàn)槲覀儸F(xiàn)在有辦法利用機(jī)器智能來發(fā)現(xiàn)異常情況。為了實(shí)現(xiàn)有效的安全保護(hù)，至少需要基本水平的智能化。如果機(jī)器可以自己學(xué)習(xí)和檢測異常活動，它們會發(fā)現(xiàn)這個(gè)“手推車小偷”，即使你不知道你在找這個(gè)小偷。

異常檢測是機(jī)器學(xué)習(xí)用于加強(qiáng)網(wǎng)絡(luò)和應(yīng)用程序安全性的第一個(gè)技術(shù)類別。這是高級安全分析形勢，然后這種技術(shù)必須滿足一些要求才可被認(rèn)為是“高級”。它必須易于部署，可應(yīng)對廣泛的數(shù)據(jù)類型和來源，并對海量數(shù)據(jù)進(jìn)行分析來產(chǎn)生可視性。

領(lǐng)先的分析師認(rèn)為，機(jī)器學(xué)習(xí)將很快成為“必須具備的功能”來保護(hù)網(wǎng)絡(luò)。在2014年Gartner名為《添加新的性能指標(biāo)來管理機(jī)器學(xué)習(xí)功能的機(jī)器》報(bào)告中，分析師Will Cappelli直接指出，“在未來五年內(nèi)，機(jī)器學(xué)習(xí)功能將逐漸開始普及，在這個(gè)過程中，這將從根本上改變系統(tǒng)性能和成本特性。”

雖然機(jī)器學(xué)習(xí)并不是可以解決所有安全問題的“萬能解決方案”，但可以肯定的是，它可以提供更好的信息來幫助人們做出更好的決策。