隨著攻擊面的不斷擴(kuò)大以及攻擊技術(shù)的日趨復(fù)雜，安全行業(yè)目前正面臨著嚴(yán)重的“安全技能短缺”。因此，我們過去所使用的安全保護(hù)策略可能已經(jīng)不再像以前那么有效了，而現(xiàn)在唯一能幫我們對抗網(wǎng)絡(luò)犯罪分子的盟友武器，可能就是機(jī)器學(xué)習(xí)技術(shù)了。

[[223340]]

盡管很多大學(xué)和在職培訓(xùn)機(jī)構(gòu)已經(jīng)盡了最大的努力，但到2022年市場上預(yù)計(jì)將出現(xiàn)180萬左右的安全專業(yè)職位空缺。這場“危機(jī)”之所以會到來，其中一個(gè)原因就在于物聯(lián)網(wǎng)設(shè)備數(shù)量的直線上升將導(dǎo)致攻擊面呈指數(shù)增長。與此同時(shí)，很多傳統(tǒng)的犯罪組織以及流氓國家也正在成為網(wǎng)絡(luò)犯罪領(lǐng)域中的主要力量，他們所擁有的資源和技術(shù)可能比以往安全社區(qū)所面臨的任何情況都要可怕得多。

但幸運(yùn)的是，機(jī)器學(xué)習(xí)和其他形式的人工智能技術(shù)已經(jīng)成熟到足以加入網(wǎng)絡(luò)安全防御戰(zhàn)線的最前線了。計(jì)算機(jī)分析趨勢、處理大規(guī)模數(shù)據(jù)以及檢測異常的能力都要遠(yuǎn)遠(yuǎn)高于人類能力。在機(jī)器學(xué)習(xí)算法的的幫助下，計(jì)算機(jī)可以根據(jù)一系列基本規(guī)則來將其應(yīng)用到大規(guī)模數(shù)據(jù)集上。當(dāng)它們不停地對這些規(guī)則進(jìn)行迭代測試后，它們對數(shù)據(jù)的理解將會更加深刻和復(fù)雜。

利用機(jī)器學(xué)習(xí)增強(qiáng)安全防御、檢測和響應(yīng)能力

人工智能技術(shù)增強(qiáng)了安全分析師的能力，緩解了安全人才短缺的情況。這些激素和可以給初級分析人員提供診斷技能和資源輔助，而這些資源通常需要多年的實(shí)戰(zhàn)經(jīng)驗(yàn)才可以積累下來。接下來，我們從防御、檢測和響應(yīng)這三個(gè)角度來看看機(jī)器學(xué)習(xí)可以如何幫到我們。

[[223341]]

1. 防御

這些年所發(fā)生的一些大規(guī)模數(shù)據(jù)泄露事件，都是因?yàn)槟切┮呀?jīng)被修復(fù)了的漏洞依然能夠被攻擊者利用所導(dǎo)致的。比如說，2014年的Heartbleed漏洞里用的就是OpenSSL協(xié)議中的一個(gè)設(shè)計(jì)缺陷，但這個(gè)漏洞的補(bǔ)丁卻早就已經(jīng)發(fā)布出來了。而去年還發(fā)生過一次嚴(yán)重的數(shù)據(jù)泄露事件，此次事件中攻擊者利用的是Apache Struts框架中的已知漏洞，而這個(gè)漏洞早在事件發(fā)生的兩個(gè)月前就已經(jīng)被修復(fù)了。

補(bǔ)丁管理對于企業(yè)安全專家來說是非常重要的，他們不僅要對企業(yè)IT資產(chǎn)的安全狀態(tài)進(jìn)行持續(xù)性的監(jiān)控，而且還需要對更新補(bǔ)丁進(jìn)行跟蹤。但是，由機(jī)器學(xué)習(xí)驅(qū)動的IT運(yùn)營管理可以讓這些操作以自動化的方式進(jìn)行。

機(jī)器學(xué)習(xí)還可以解決安全防御環(huán)節(jié)中人類的影響因素，比如說網(wǎng)絡(luò)釣魚攻擊現(xiàn)在越來越復(fù)雜了，而且也很難被人類一眼察覺。而且網(wǎng)絡(luò)犯罪分子還可以使用腳本來將用戶重定向到惡意網(wǎng)站，并且去他們的憑證信息。攻擊成功之后，他們就可以迅速將釣魚頁面刪除。實(shí)際上，一次釣魚攻擊中70%的憑證都是在攻擊發(fā)起后的1小時(shí)之內(nèi)竊取到的。雖然人類無法快速發(fā)現(xiàn)這些釣魚頁面，但是計(jì)算機(jī)可以通過訓(xùn)練來尋找釣魚頁面的特性，并在一瞬間屏蔽這些頁面。除此之外，它們還可以通過網(wǎng)絡(luò)來分享自己的“經(jīng)驗(yàn)”，并提升其他設(shè)備的檢測能力。

2. 檢測

行為分析是機(jī)器學(xué)習(xí)的一種，它需要通過搜索大量的系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫信息來尋找異?；顒?。行為分析可以顯著降低(減少75%)網(wǎng)絡(luò)內(nèi)部的安全威脅，比如說，檢測設(shè)備可以發(fā)現(xiàn)來自未知IP地址的訪問嘗試，重復(fù)登錄失敗和下載大量關(guān)鍵數(shù)據(jù)等行為。

機(jī)器學(xué)習(xí)可以幫助安全團(tuán)隊(duì)處理由不當(dāng)權(quán)限所帶來的漏洞。計(jì)算機(jī)設(shè)備可以掃描網(wǎng)絡(luò)上數(shù)以百萬計(jì)的文件夾，并從中尋找警告標(biāo)識，比如說某些特殊權(quán)限或特殊用戶等等。除此之外，它們還可以搜索出那些已離職人員的登錄憑證。

3. 響應(yīng)

一旦檢測到了入侵行為，安全團(tuán)隊(duì)就需要以最快的速度盡量減少損失，并將攻擊者“趕出”自己的網(wǎng)絡(luò)系統(tǒng)。此時(shí)的當(dāng)務(wù)之急就是了解數(shù)據(jù)泄露事件發(fā)生的根本原因、了解受感染程度、并確定受影響的范圍。

在機(jī)器學(xué)習(xí)的幫助下，安全團(tuán)隊(duì)可以快速建立一份“知識圖”來描述攻擊的波及范圍。它們可以精確定位IP地址、設(shè)備以及個(gè)人用戶，而且比手動分析要來得更加快速和精準(zhǔn)。這使得團(tuán)隊(duì)能夠迅速移除所有受感染的元素，并實(shí)現(xiàn)安全事件的自動化響應(yīng)，而這些自動化過程包括將入侵者隔離在單獨(dú)的子網(wǎng)、關(guān)閉端口、隔離設(shè)備或?qū)?shù)據(jù)進(jìn)行加密等等。

另一種有趣的新型響應(yīng)技術(shù)就是移動威脅防御，這種技術(shù)會不斷改變網(wǎng)絡(luò)中的資源狀態(tài)，比如IP地址和數(shù)據(jù)位置等等，并通過這種方式來迷惑并影響攻擊者的活動。對于人類來說，手動實(shí)現(xiàn)這種技術(shù)幾乎是不可能的，但機(jī)器學(xué)習(xí)就非常適合這種類型的任務(wù)。

[[223342]]

團(tuán)結(jié)就是力量

雖然機(jī)器學(xué)習(xí)可以從各個(gè)方面幫助我們預(yù)防網(wǎng)絡(luò)威脅，但你可別忘了，我們有的東西，網(wǎng)絡(luò)犯罪分子也有，而且可能還會更加先進(jìn)。這是因?yàn)槿绱?，我們才需要合作，不僅是不同機(jī)構(gòu)間的合作，而且跨領(lǐng)域之間的合作也是勢在必行的，因?yàn)榫W(wǎng)絡(luò)威脅的嚴(yán)重性要求我們拋開某些競爭，這樣才能換取更大的利益。

不過，網(wǎng)絡(luò)犯罪分子之間也可以共享數(shù)據(jù)，但他們的動機(jī)不同，而且壞人之間幾乎是沒有信任的。我相信，全球安全專業(yè)人員集體的智慧再配合智能機(jī)器的強(qiáng)大功能，肯定會成為我們長期以來最強(qiáng)大的安全防線。技術(shù)已經(jīng)誕生了，我們需要的就是集思廣益，思考如何才能更好地去使用它們。