早在撥號互聯(lián)網(wǎng)時代之前，當病毒通過受感染的軟盤傳播時，網(wǎng)絡安全就一直很重要。對手與 IT 專業(yè)人員之間的戰(zhàn)斗不斷升級。攻擊者會創(chuàng)建新的和不同類型的惡意軟件或攻擊，IT 團隊部署新的或改進的防御類型來保護他們不斷增長的數(shù)據(jù)庫存。

[[437699]]

在最新一輪的信息安全 (InfoSec) 攻擊中，攻擊者正在通過新的載體部署新型威脅，并利用人工智能的力量增強這些攻擊。切實應對這些攻擊的唯一方法是在網(wǎng)絡安全防御中部署人工智能的力量。

網(wǎng)絡安全威脅一直在增長

攻擊面正在增長。在“過去”，計算機獨立運行或使用封閉網(wǎng)絡與其他幾臺機器相連。然后是局域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)接入?，F(xiàn)在，一半的應用程序在云中運行，一半(或可能全部)用戶在家工作并使用移動設備訪問網(wǎng)絡。通過首先入侵用戶的筆記本電腦或手機或入侵基于云的應用程序實例，這為攻擊者提供了更多潛在的網(wǎng)絡入口點。供應鏈攻擊構成了另一種威脅，其中來自受信任供應商的軟件也可能包含嵌入式惡意軟件。然后，攻擊者使用受感染的應用程序或設備作為灘頭陣地來入侵網(wǎng)絡的其余部分。

數(shù)據(jù)呈指數(shù)級增長，這已不是新聞，但現(xiàn)在 IT 有望保護大部分或全部數(shù)據(jù)。在舊的安全模型中，InfoSec 只需要篩選程序和其他可執(zhí)行文件，例如啟用宏的文檔或電子表格，以確保它們沒有攜帶惡意軟件。這可能是數(shù)據(jù)的 5% 到 10%。但如今，即使是不可執(zhí)行的數(shù)據(jù)也需要受到保護，免遭勒索軟件和盜竊的侵害——您需要 100% 地保護這些數(shù)據(jù)。分布式應用程序架構和混合云使服務器之間所需的通信量成倍增加，而網(wǎng)絡速度在過去 25 年中增加了 2,000 倍(從 1995 年的 100Mb 以太網(wǎng)到 2020 年的 200Gb 以太網(wǎng))。更多的數(shù)據(jù)在網(wǎng)絡上的移動速度比以往任何時候都快。需要保護的數(shù)據(jù)呈指數(shù)級增長，需要篩選和分析的流量呈指數(shù)級增長。

法規(guī)遵從性增加了對保護什么和如何保護的要求，從而進一步增加了信息安全的負擔。必須執(zhí)行額外的數(shù)據(jù)加密、訪問控制、隱私保護、身份驗證方法和報告，具體取決于哪些法規(guī)會影響您的組織。網(wǎng)絡安全專業(yè)人員現(xiàn)在必須實施他們認為必要的保護措施和法律要求的額外保護措施，如果遭到黑客攻擊，他們將面臨處罰或披露要求。

對手很快就會使用人工智能來加強他們的攻擊——如果他們還沒有的話。研究人員已經(jīng)展示了人工智能如何定制網(wǎng)絡釣魚攻擊以使其更有效或創(chuàng)建模仿名人或聽起來完全像你老板的“深度偽造”聲音。域生成算法會自動生成可以傳播惡意軟件的新 URL，而不會被基于 DNS 的安全網(wǎng)關列入黑名單。僵尸網(wǎng)絡已經(jīng)使用簡單的人工智能概念來尋找最脆弱的機器并解決網(wǎng)絡防御問題。較新的病毒已經(jīng)改變了它們自己的代碼，反復更改它們的位置，甚至禁用或修改受感染機器上的反惡意軟件以避免檢測。這些都是用于增強網(wǎng)絡攻擊的基本或簡單人工智能的例子。

為應對威脅風暴的挑戰(zhàn)，IT 安全專業(yè)人員嚴重短缺。根據(jù)美國商務部撥款最近進行的一項研究，全國約有 950,000 人從事網(wǎng)絡安全工作，但有超過 450,000 個網(wǎng)絡安全職位空缺。因此，您不能通過自己的方式進入安全性和合規(guī)性。

為什么需要人工智能

人工智能可以在五個領域幫助檢測和預防發(fā)生的安全威脅：

1) 比人類篩選更多的數(shù)據(jù)

需要檢查的數(shù)據(jù)量是巨大的，并且變得超出任何人，甚至是團隊可以合理篩選的范圍。人類信息安全調查通常僅在確認或至少懷疑違規(guī)后才會進行。當威脅更加有限時，少數(shù)人可以合理地對所有防病毒和防火墻警報做出反應，并有信心應對大多數(shù)安全威脅。但是現(xiàn)在，所有服務器上的所有數(shù)據(jù)和每個網(wǎng)絡連接上的所有流量都可能受到懷疑，可信用戶與通過VPN連接的不可信用戶混在一起、Web 應用程序網(wǎng)關和基于云的應用程序。使用傳統(tǒng)日志記錄或遙測工具的人每天最多只能采樣幾 GB 的數(shù)據(jù)，但基于 AI 的網(wǎng)絡安全每天可以審查和分析 TB 級的數(shù)據(jù)，以檢測惡意軟件、黑客攻擊、數(shù)據(jù)泄露或成功或正在進行的證據(jù)攻擊。

2) 捕捉可疑行為，而不僅僅是可疑位

老派的威脅以固定的、可識別的形式出現(xiàn)，一旦被釋放到野外就不會改變。絕大多數(shù)組織只要定期更新其安全軟件簽名，就會受到保護?，F(xiàn)在，高級惡意軟件會自我修改，黑客的工具包讓不法分子每天甚至每小時創(chuàng)建新的惡意軟件。新的漏洞利用和病毒通常會在安全公司分發(fā)更新的簽名之前攻擊數(shù)據(jù)中心。這些零日攻擊以前從未出現(xiàn)過，因此它們不會出現(xiàn)在任何威脅數(shù)據(jù)庫中。人工智能驅動的安全性可以通過發(fā)現(xiàn)可疑行為而不是僅掃描已知簽名來檢測這些威脅?？梢杂柧? AI 識別可疑的應用程序行為或流量模式以檢測新的攻擊，即使特定攻擊以前從未見過。

3) 識別應用程序和網(wǎng)絡中的錯誤、漏洞和錯誤

AI 有能力通過發(fā)現(xiàn)和解決惡意軟件和泄露敏感數(shù)據(jù)之外的問題來提高安全性。它可以掃描應用程序、服務器和網(wǎng)絡日志以識別錯誤配置、過時的軟件或不正確的設置。AI 還可以在部署之前掃描應用程序代碼或在流片之前掃描芯片設計，以幫助在產(chǎn)品投入使用之前發(fā)現(xiàn)漏洞。這些用途不會發(fā)現(xiàn)威脅或病毒，但會消除系統(tǒng)、應用程序和網(wǎng)絡漏洞，從而降低黑客攻擊成功的可能性。

4) 識別充當人類的機器和充當機器的人類。

用戶對自己進行身份驗證以訪問應用程序，各種應用程序、Web、數(shù)據(jù)庫和中間件服務器也對其他機器進行身份驗證以共享數(shù)據(jù)。但是，如果僵尸網(wǎng)絡學會模仿人類員工的行為，會發(fā)生什么?如果對手假裝是受信任的服務器怎么辦?人工智能驅動的安全學習正常的流量和數(shù)據(jù)訪問模式，并可以快速檢測機器是否在冒充合法用戶(機器為人)。它還可以檢測攻擊者何時冒充受信任的機器來訪問敏感數(shù)據(jù)(人即機器)。

5) 識別前所未見或零日威脅

傳統(tǒng)的安全軟件引用了一個已知惡意軟件簽名的數(shù)據(jù)庫，這些簽名應該被阻止進入數(shù)據(jù)中心。今天的問題是惡意軟件簽名的數(shù)據(jù)庫，敏感信息無法快速更新以跟上新的惡意軟件創(chuàng)建或自我修改的惡意軟件。同樣，要防止泄露到組織外的敏感數(shù)據(jù)的固定列表將始終過時。人工智能驅動的安全性可以通過識別可疑的行為模式或網(wǎng)絡流量來識別零日攻擊，而無需依賴固定的簽名數(shù)據(jù)庫。人工智能可以識別敏感信息的類別或類型，而不是只注意到與嚴格的預定義列表匹配的信息。

隨著數(shù)據(jù)量、攻擊面和威脅數(shù)量的不斷增長，人工智能技術是唯一合理的應對措施。人工智能驅動的數(shù)據(jù)科學提供了覆蓋所有相關機器和網(wǎng)絡流量的規(guī)模，以及識別信息安全團隊及其軟件工具以前從未見過的許多新威脅和漏洞的適應性。