機(jī)器學(xué)習(xí)正在不斷加的加快前進(jìn)的步伐，是時(shí)候來(lái)探討這個(gè)問(wèn)題了。人工智能真的能在未來(lái)對(duì)抗網(wǎng)絡(luò)攻擊，自主地保護(hù)我們的系統(tǒng)嗎?

如今，越來(lái)越多的網(wǎng)絡(luò)攻擊者通過(guò)自動(dòng)化技術(shù)發(fā)起網(wǎng)絡(luò)攻擊，而受到攻擊的企業(yè)或組織卻仍在使用人力來(lái)匯總內(nèi)部安全發(fā)現(xiàn)，再結(jié)合外部威脅信息進(jìn)行對(duì)比。利用這種傳統(tǒng)的方式部署的入侵檢測(cè)系統(tǒng)往往需要花費(fèi)數(shù)周，甚至幾個(gè)月的時(shí)間，然而就在安全人員修復(fù)的這段時(shí)間內(nèi)，攻擊者依然能夠利用漏洞侵入系統(tǒng)，肆意掠奪數(shù)據(jù)。為了應(yīng)對(duì)這些挑戰(zhàn)，一些先行者開(kāi)始利用人工智能來(lái)完成日常的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理操作。

根據(jù)Verizon Data Breach的報(bào)告，超過(guò)70%的攻擊是通過(guò)發(fā)現(xiàn)補(bǔ)丁利用已知漏洞完成的。同時(shí)，調(diào)查結(jié)果表明，一個(gè)黑客可以在漏洞公布出來(lái)的幾分鐘內(nèi)利用該漏洞嘗試入侵。修復(fù)速度的重要性可見(jiàn)一斑。然而，由于安全專(zhuān)業(yè)人員的短缺再加上大數(shù)據(jù)集需要在安全的狀態(tài)下處理，因此漏洞補(bǔ)救措施無(wú)法跟上網(wǎng)絡(luò)攻擊者并不奇怪。

近期，工業(yè)調(diào)查表明組織機(jī)構(gòu)平均需要146天的時(shí)間才能修復(fù)致命漏洞。這些發(fā)現(xiàn)無(wú)疑給我們敲響了警鐘，重新思考現(xiàn)有的企業(yè)安全勢(shì)在必行。

攻擊者長(zhǎng)期利用機(jī)器和自動(dòng)化技術(shù)來(lái)簡(jiǎn)化操作。那我們又未嘗不可?

2016年，業(yè)界開(kāi)始將人工智能和機(jī)器學(xué)習(xí)視為圣杯，提高了組織機(jī)構(gòu)的檢測(cè)和響應(yīng)能力。 利用反復(fù)學(xué)習(xí)數(shù)據(jù)的方式得到的算法，來(lái)保證發(fā)現(xiàn)威脅，而這個(gè)過(guò)程不需要操作者考慮“要找什么東西”的問(wèn)題。最終，人工智能能夠在三個(gè)特定事件中幫助人類(lèi)自動(dòng)化解決問(wèn)題。

大數(shù)據(jù)識(shí)別威脅

當(dāng)出現(xiàn)網(wǎng)絡(luò)安全這一概念的時(shí)候，所有的組織機(jī)構(gòu)就面臨了一個(gè)難題。

在過(guò)去，關(guān)注網(wǎng)絡(luò)和終端的保護(hù)就可以了，而如今應(yīng)用程序，云服務(wù)和移動(dòng)設(shè)備(例如平板電腦，手機(jī)，藍(lán)牙設(shè)備和智能手表)的加入，使得組織機(jī)構(gòu)的發(fā)展這些項(xiàng)目的同時(shí)，必須針對(duì)它們做好足夠的防御。然而需要防御的攻擊面在不斷擴(kuò)大，在將來(lái)會(huì)變得更大。

這種“更廣泛和更深層”的攻擊面只會(huì)增加如何管理組織中無(wú)數(shù)IT和安全工具生成的數(shù)據(jù)的數(shù)量，速度和復(fù)雜性等現(xiàn)有問(wèn)題。分析、歸一化、優(yōu)先處理被攻破的系統(tǒng)顯得尤為重要。工具越多，挑戰(zhàn)的難度越大;攻擊面越廣，要做的數(shù)據(jù)分析也就越多。 傳統(tǒng)上，手工修復(fù)需要大量的工作人員梳理大量的數(shù)據(jù)連接點(diǎn)和發(fā)現(xiàn)潛在的威脅。在安全人員在努力修復(fù)幾個(gè)月時(shí)間內(nèi)，攻擊者就能利用漏洞提取數(shù)據(jù)。

突破現(xiàn)有的思維方式、自動(dòng)化執(zhí)行傳統(tǒng)的安全操作已成為補(bǔ)充稀缺的網(wǎng)絡(luò)安全運(yùn)營(yíng)人才的頭等大事。 就是在這種大環(huán)境下，使用人機(jī)交互式機(jī)器學(xué)習(xí)引擎可以達(dá)到自動(dòng)化跨不同數(shù)據(jù)類(lèi)型的數(shù)據(jù)聚合、 搜集評(píng)估數(shù)據(jù)到合規(guī)要求、規(guī)范化信息以排除誤報(bào)，重復(fù)報(bào)告以及大量的數(shù)據(jù)屬性的效果。

更具關(guān)聯(lián)性的風(fēng)險(xiǎn)評(píng)估

一旦發(fā)現(xiàn)內(nèi)部安全情報(bào)與外部威脅數(shù)據(jù)(例如，漏洞利用，惡意軟件，威脅行為者，聲譽(yù)智能)相匹配，那么首先要確定的就是這些發(fā)現(xiàn)是否與關(guān)鍵業(yè)務(wù)相關(guān)聯(lián)，否則無(wú)法確定真正存在的風(fēng)險(xiǎn)及其對(duì)業(yè)務(wù)的最終影響。 打個(gè)比方，假設(shè)在某次機(jī)器的處理過(guò)程中，由于機(jī)器不知道“coffee服務(wù)器”相比“email務(wù)器”對(duì)業(yè)務(wù)的影響，最終導(dǎo)致了補(bǔ)救措施無(wú)法集中在真正需要補(bǔ)救的事件中。在這個(gè)例子中，人機(jī)交互的機(jī)器學(xué)習(xí)和高級(jí)算法起了適得其反的效果，這不是我們?cè)敢饪吹降默F(xiàn)象。

自學(xué)習(xí)的應(yīng)急響應(yīng)

增加負(fù)責(zé)確定安全漏洞的安全團(tuán)隊(duì)和專(zhuān)注于補(bǔ)救這些團(tuán)隊(duì)的IT運(yùn)營(yíng)團(tuán)隊(duì)之間的協(xié)作仍然是許多組織面臨的挑戰(zhàn)。 使用基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全概念作為藍(lán)圖，可以實(shí)施主動(dòng)安全事件通知和人機(jī)交互環(huán)路干預(yù)的自動(dòng)化過(guò)程。 通過(guò)建立閾值和預(yù)定義的規(guī)則，企業(yè)、機(jī)構(gòu)還可以通過(guò)編制補(bǔ)救措施來(lái)的方式及時(shí)修復(fù)安全漏洞。

雖然機(jī)器學(xué)習(xí)可以幫助減少修復(fù)時(shí)間，但它是否能夠自主地保護(hù)組織免受網(wǎng)絡(luò)攻擊?

很多時(shí)候，無(wú)人監(jiān)督的機(jī)器學(xué)習(xí)會(huì)因?yàn)槠Ｓ诰瘓?bào)以及注意力的原因降導(dǎo)致誤報(bào)和警報(bào)頻發(fā)。 對(duì)于攻擊者來(lái)說(shuō)，這個(gè)結(jié)果無(wú)疑給他們帶來(lái)了破壞機(jī)器學(xué)習(xí)的新思路。 但是不得不承認(rèn)的是，如今已經(jīng)達(dá)到了一個(gè)臨界點(diǎn)，人類(lèi)已經(jīng)無(wú)法繼續(xù)處理大量的安全數(shù)據(jù)。 這才引出了所謂的人機(jī)交互式機(jī)器學(xué)習(xí)。

人機(jī)交互式機(jī)器學(xué)習(xí)系統(tǒng)分析內(nèi)部安全智能，并將其與外部威脅數(shù)據(jù)相關(guān)聯(lián)，幫助人類(lèi)在海量的數(shù)據(jù)中發(fā)現(xiàn)威脅數(shù)據(jù)。 然后人類(lèi)通過(guò)標(biāo)記最相關(guān)的威脅向系統(tǒng)提供反饋。 隨著時(shí)間的推移，系統(tǒng)會(huì)根據(jù)人類(lèi)輸入調(diào)整其監(jiān)測(cè)和分析，優(yōu)化發(fā)現(xiàn)真實(shí)網(wǎng)絡(luò)威脅和最小化誤報(bào)的可能性。

讓機(jī)器學(xué)習(xí)在一線(xiàn)安全數(shù)據(jù)評(píng)估中取得重大進(jìn)展，使分析人員能夠?qū)Ｗ⒂趯?duì)威脅進(jìn)行更高級(jí)的調(diào)查，而不是執(zhí)行戰(zhàn)術(shù)性的數(shù)據(jù)處理。