人工智能(AI)含義寬泛，從聊天機(jī)器人到自動(dòng)駕駛汽車的很多東西都可以用這個(gè)詞來描述。市場(chǎng)營(yíng)銷人員很喜歡趕時(shí)髦，乘著這股東風(fēng)推銷產(chǎn)品。

[[184025]]

這篇文章中，我們將定義和描述AI、機(jī)器學(xué)習(xí)和深度學(xué)習(xí)，以及它們對(duì)信息安全產(chǎn)生的預(yù)期影響。雖然往傳統(tǒng)上與人類認(rèn)知相關(guān)的功能中引入各類系統(tǒng)已經(jīng)很普遍，我們不妨退后一步，仔細(xì)審視一下這些術(shù)語(yǔ)真實(shí)的含義。

網(wǎng)絡(luò)安全能力問題

公司企業(yè)處理網(wǎng)絡(luò)安全的方式在改進(jìn)，可用3個(gè)階段來檢驗(yàn)：

1. 預(yù)防——僅僅10年之前，公司企業(yè)還將主要工作集中在預(yù)防上：避免被入侵。公司企業(yè)打造壁壘，強(qiáng)化網(wǎng)絡(luò)，以便將敵人隔絕在外。

2. 檢測(cè)——鑒于攻擊規(guī)模和復(fù)雜度的上升，企業(yè)隨后實(shí)現(xiàn)了檢測(cè)系統(tǒng)，在潛在惡意威脅突破防線時(shí)予以警示。

3. 響應(yīng)——預(yù)防和檢測(cè)系統(tǒng)都是自動(dòng)化的，很快。但是，直到現(xiàn)在，公司企業(yè)還依賴人工來判定這些產(chǎn)品產(chǎn)生的警報(bào)，期待他們手動(dòng)分辨威脅的真假或良莠。其結(jié)果，就是緩慢而重復(fù)的響應(yīng)，且事件響應(yīng)團(tuán)隊(duì)也會(huì)被警報(bào)淹沒，沒有機(jī)會(huì)跟上不斷發(fā)展的威脅態(tài)勢(shì)。

事件響應(yīng)問題加上網(wǎng)絡(luò)安全人才的缺口，造成了網(wǎng)絡(luò)安全能力問題。正如紐昂斯通訊公司CISO道格·格拉漢姆所說：

“很容易陷進(jìn)這么一種怪圈：購(gòu)買更多工具，得到更多警報(bào)，努力工作以關(guān)聯(lián)這些警報(bào)，但仍然發(fā)現(xiàn)需要的動(dòng)作數(shù)量是驚人的。公司企業(yè)需要找到打破這一怪圈的方法，減少警報(bào)數(shù)量，因?yàn)橛肋h(yuǎn)不可能有足夠的人手來處理每一個(gè)警報(bào)的。

跟上威脅規(guī)模及其相應(yīng)警報(bào)的唯一辦法，就是通過安全自動(dòng)化，而人工智能，是安全自動(dòng)化技術(shù)的關(guān)鍵一環(huán)。

定義術(shù)語(yǔ)

Facebook人工智能研究總監(jiān)揚(yáng)·勒丘恩在《華爾街日?qǐng)?bào)》上的文章中就問道：“人工智能的下一步是什么?”

文章中寫道：

人工智能的傳統(tǒng)定義，是機(jī)器以類人方式執(zhí)行任務(wù)和解決問題的能力。有些任務(wù)我們覺得簡(jiǎn)單——識(shí)別照片中的物體、開車等等，但對(duì)AI而言就非常復(fù)雜。機(jī)器在某些事情上可以遠(yuǎn)勝人類，比如下棋，但這些機(jī)器受制于它們編程上的人工屬性;一個(gè)價(jià)值30美元的小裝置就能在棋類游戲中打敗我們，但它不能，或者說學(xué)不了，其他東西。

這篇文章后面接著描述了AI、機(jī)器學(xué)習(xí)和深度學(xué)習(xí)，以及這些技術(shù)對(duì)職業(yè)、經(jīng)濟(jì)和人機(jī)互動(dòng)基礎(chǔ)的影響。雖然往傳統(tǒng)上與人類認(rèn)知相關(guān)的功能中引入各類系統(tǒng)已經(jīng)很普遍，我們不妨退后一步，仔細(xì)審視一下這些術(shù)語(yǔ)真實(shí)的含義。

人工智能是什么?

維基百科上對(duì)AI定義如下：

人工智能(AI)是機(jī)器展現(xiàn)的智慧。計(jì)算機(jī)科學(xué)中，理想的“智慧”機(jī)器，是能夠感知環(huán)境并采取行動(dòng)以最大化任意目標(biāo)成功機(jī)會(huì)的靈活理性的主體。通俗講，“人工智能”這個(gè)詞匯，可應(yīng)用于機(jī)器使用尖端技術(shù)執(zhí)行或模仿人類思維“認(rèn)知”功能的情況，比如“學(xué)習(xí)”和“解決問題”。

理性主體的定義：

在經(jīng)濟(jì)學(xué)、博弈論、決策理論和人工智能中，理性主體就是有明確偏好，通過預(yù)期變量值或變量功能對(duì)不確定性建模，并總是從所有可用行動(dòng)中選擇能產(chǎn)生最優(yōu)預(yù)期結(jié)果行動(dòng)的主體。理性主體可以是任何能做出決策的東西，通常是人、公司、機(jī)器，或者軟件。

計(jì)算機(jī)系統(tǒng)領(lǐng)域的人工智能，要能解決問題，執(zhí)行模仿人類認(rèn)知過程的任務(wù)，包括：

理解手頭問題范圍

知道到哪兒去尋找信息源以幫助解決問題

能夠從外部攝入數(shù)據(jù)

有分析數(shù)據(jù)的能力

基于數(shù)據(jù)分析決定該采取什么行動(dòng)

判定這些行動(dòng)是否解決了問題

進(jìn)行分析，查看上述過程中揭示的東西能不能應(yīng)用到其他地方

我們不妨逐條分析一下與網(wǎng)絡(luò)安全自動(dòng)化和分析處理有關(guān)的方面。

理解網(wǎng)絡(luò)威脅的范圍

旨在調(diào)查、評(píng)估、緩解網(wǎng)絡(luò)威脅的自動(dòng)化系統(tǒng)，必須也能夠理解威脅的范圍和廣度。不了解問題的大小，這種系統(tǒng)就永遠(yuǎn)不能完全解決問題。

我們可以從人類網(wǎng)絡(luò)分析師的視角審視一下常見的事件響應(yīng)場(chǎng)景。

當(dāng)一個(gè)檢測(cè)系統(tǒng)，比方說火眼吧，給網(wǎng)絡(luò)分析師發(fā)送一個(gè)已知惡意IP地址的警報(bào)時(shí)，分析師會(huì)執(zhí)行以下邏輯步驟：

1. 查明網(wǎng)絡(luò)中哪臺(tái)機(jī)器連接了該惡意IP;

2. 檢查該終端，調(diào)查該機(jī)器上是否存在連接該IP地址的惡意軟件;

3. 采取修復(fù)措施清理該機(jī)器，確保沒留下什么東西;

4. 添加一條防火墻阻止規(guī)則，防止其他機(jī)器訪問該IP地址。

這4個(gè)步驟能夠解決眼前的問題，也可以說，分析師做了他們?cè)撟龅墓ぷ?。然而，使用人工智能和安全自?dòng)化的系統(tǒng)，需要執(zhí)行額外的步驟：

1. 查詢網(wǎng)絡(luò)資源以探明網(wǎng)絡(luò)中其他已經(jīng)訪問(或嘗試訪問)該IP地址的機(jī)器;

2. 在這些機(jī)器上自動(dòng)觸發(fā)額外的調(diào)查以殺死進(jìn)程、隔離文件、清除內(nèi)存中的其他惡意東西;

3. 將每個(gè)調(diào)查的結(jié)果發(fā)回報(bào)修系統(tǒng)。

很多情況下，單個(gè)警報(bào)是更大問題的征兆之一，人工智能系統(tǒng)必須能看清全局。

知道上哪兒去找信息源以幫助解決問題

繼續(xù)用上面那個(gè)關(guān)于惡意IP地址的火眼警報(bào)做例子，我們看到人工智能系統(tǒng)可以查詢網(wǎng)絡(luò)資源以確定還有其他哪些機(jī)器也訪問了惡意IP地址。僅此一步，系統(tǒng)就必須執(zhí)行一系列必要的復(fù)雜操作才能被認(rèn)為是AI：

系統(tǒng)必須知道上哪兒訪問額外的網(wǎng)絡(luò)資源

必須知曉這些資源的用途和資源中應(yīng)包含什么數(shù)據(jù)

必須擁有解析數(shù)據(jù)以查找相關(guān)可執(zhí)行動(dòng)作的能力

系統(tǒng)要能應(yīng)用相關(guān)發(fā)現(xiàn)來將找到的東西翻譯成一系列后續(xù)動(dòng)作

對(duì)人類而言，所有這些步驟都是很基礎(chǔ)的，因?yàn)樗鼈兎线壿嫞椅覀兊拇竽X就是這么工作的。然而，能夠編程這個(gè)查找額外信息以解決問題的決策過程，就是非常復(fù)雜的了，堪稱人工智能的品質(zhì)證明。

從外部攝入數(shù)據(jù)的能力

智謀是人類與生俱來的特質(zhì)。只需要想想你每天多少次尋求外部信息源就知道了。從查詢天氣到閱讀有關(guān)人工智能的文章，我們頻繁地從外部獲取數(shù)據(jù)來幫助決策。

網(wǎng)絡(luò)安全世界里，獲取已知威脅的最新信息，是任何安全工具發(fā)揮功用的必備基礎(chǔ)能力。威脅的規(guī)模和復(fù)雜度，需要對(duì)病毒特征碼和威脅情報(bào)饋送之類事物的不斷更新，才能攔住大規(guī)模攻擊。

人工智能事件響應(yīng)系統(tǒng)若想評(píng)估它發(fā)現(xiàn)的每個(gè)網(wǎng)絡(luò)警報(bào)，就必須能經(jīng)常訪問一系列不同的威脅情報(bào)源。這樣，系統(tǒng)就總能以最高水準(zhǔn)的置信度提示或無視潛在威脅。

分析數(shù)據(jù)的能力

人工智能系統(tǒng)對(duì)數(shù)據(jù)的分析，需要通過確定內(nèi)容、上下文和意義來達(dá)成。

內(nèi)容——簡(jiǎn)單說就是：我們看的是什么?以警報(bào)為例，系統(tǒng)應(yīng)該找哪些數(shù)據(jù)以采取下一步行動(dòng)?數(shù)據(jù)例子包括IP地址和潛在威脅的地理位置。

上下文——警報(bào)類型是什么?反病毒軟件發(fā)送的?數(shù)據(jù)泄露防護(hù)系統(tǒng)(DLP)?安全信息和事件管理系統(tǒng)(SIEM)?

意義——基于內(nèi)容和上下文，系統(tǒng)下一步該做什么?

基于數(shù)據(jù)分析決定行動(dòng)方案

一旦人工智能系統(tǒng)執(zhí)行了必需的分析，它一定要能夠基于編程的邏輯知道下一步該做什么。雖然相似的調(diào)查過程流可被應(yīng)用到多個(gè)警報(bào)上，修復(fù)過程有可能大不相同。舉例如下：

網(wǎng)絡(luò)釣魚郵件——發(fā)送者是誰(shuí)?附件是什么?有人已經(jīng)點(diǎn)擊了附件嗎?下載并運(yùn)行了可執(zhí)行文件?交出了憑證?基于這些問題的回答得出的修復(fù)動(dòng)作，是有條件依賴的，而且需要高級(jí)決策邏輯。

惡意IP地址——如果某個(gè)惡意IP地址被網(wǎng)絡(luò)中的設(shè)備訪問了，后面會(huì)發(fā)生什么?該IP地址只是終端惡意軟件感染的征兆?什么類型的惡意軟件?回連該IP地址并加密文件的勒索軟件?還有多少其他機(jī)器連接該IP地址?如果終端上的根源問題被清除了，自動(dòng)添加一條防火墻阻止規(guī)則以防止其他機(jī)器訪問該IP有意義嗎?

殺毒警報(bào)——如果系統(tǒng)收到筆記本中木馬的警報(bào)，并提示殺毒軟件(AV)已成功清除了惡意文件，這真的是成功修復(fù)的標(biāo)志?或者說，系統(tǒng)應(yīng)執(zhí)行一次全面檢查以確保木馬不僅僅是傳播惡意進(jìn)程的入口，然后演變成AV發(fā)現(xiàn)不了的其他東西?

知道潛在威脅被確認(rèn)之后該做什么，無疑是人工智能網(wǎng)絡(luò)安全解決方案最重要的能力。知道怎樣嚴(yán)格檢查、修復(fù)并維持此一循環(huán)，正是AI解決方案的價(jià)值所在。

確定采取的行動(dòng)是否解決了問題

評(píng)估所采取的行動(dòng)是否真正解決了全部問題，是檢查警報(bào)和修復(fù)工作流的關(guān)鍵最后一步。雖然一些產(chǎn)品和進(jìn)程會(huì)在修復(fù)階段停頓，任何人工智能系統(tǒng)必須能夠確認(rèn)修復(fù)動(dòng)作是成功的，不需要額外操作。

繼續(xù)之前的AV例子，基于AI的網(wǎng)絡(luò)安全解決方案，會(huì)確認(rèn)AV產(chǎn)品成功清除了感染源的文件和進(jìn)程，檢查內(nèi)存有沒有遺留東西，發(fā)起平行調(diào)查以確定是否存在任何橫向移動(dòng)，并重新調(diào)查以確保這些步驟完全修復(fù)了整個(gè)環(huán)境中的感染痕跡。

將結(jié)果應(yīng)用到其他地方

最后，一旦基于AI的網(wǎng)絡(luò)安全解決方案完成了從警報(bào)到修復(fù)和確認(rèn)的端到端工作流，它必需能夠?qū)⑵浒l(fā)現(xiàn)通用到其他地方。比如說，如果檢測(cè)系統(tǒng)的警報(bào)被確定是未知威脅，系統(tǒng)要能在沙箱中觸發(fā)可疑實(shí)體以檢查行為，基于觀察到的特征予以定罪或選擇無視。僅僅因?yàn)橥{情報(bào)饋送中沒有包含某威脅，并不意味著調(diào)查過程應(yīng)終止。新威脅被發(fā)現(xiàn)的時(shí)候，人工智能系統(tǒng)可以將其新發(fā)現(xiàn)的知識(shí)，應(yīng)用到網(wǎng)絡(luò)中所有其他系統(tǒng)上，發(fā)起調(diào)查以查找是否有其他機(jī)器表現(xiàn)出該威脅或該威脅類型的證據(jù)。