公司越来越多地转向人工智能来帮助他们在现代IT环境中做安全工作。数据、设备、处理能力、算法和网络系统(21世纪任何有竞争力的企业的宝贵资产)的指数级增长伴随着新的风险和漏洞。Gartner将数据安全、基础设施保护和云安全列为安全支出增长最快的领域。根据2018年12月的报告,Gartner估计该公司将在2019年花费约1370亿美元用于网络安全风险管理。
在这种新的现实中,公司意识到被动的措施是不够的。他们不仅必须扩展和自动化威胁响应程序,还必须制定积极的措施。
人工智能功能由一系列技术提供动力,如机器学习、深度学习、计算机视觉和自然语言处理,以检测模式和推理。在网络安全领域,人工智能在网络安全中的作用是识别用户、数据、设备、系统和网络行为的模式,从而区分异常和正常。它还可以帮助管理员分析海量数据和调查新威胁类型的海啸,并更快地做出响应和提前解决威胁。
根据网络安全市场和供应商的Kaleido Insights的研究和分析,以下是六个常见的使用案例,其中一些为下一代网络安全产品铺平了道路。
1.人类安全分析师和SOC扩展
人工智能在网络安全中最常见的一个用例是对人类分析师的支持。毕竟,人工智能不太可能取代有经验的安全分析师。在机器擅长的领域,比如分析大数据,消除疲劳,把人从繁琐的任务中解放出来,让他们可以利用更复杂的技能,比如创造力、细微差别和专业知识,来增强人的能力。在某些情况下,分析师扩展包括将预测分析整合到安全运营中心(SOC)工作流中,以分类或查询大型数据集。
Darktrace的Cyber AI Analyst是一个软件程序,它通过只显示高优先级事件来支持人类分析师。同时查询海量数据,在全网范围内流转,收集调查背景,调查整理低优先级案件。通过分析Darktrace自己的专家分析师如何调查警报,以训练在数千个部署中开发的数据集,Cyber AI Analyst使用各种机器学习、深度学习和数学技术来处理N维数据,生成数千个查询,并以机器速度进行调查。所有并行威胁同时发生。
2.新攻击识别
尽管恶意软件或其他类型的威胁检测已经存在多年——通常将可疑代码与基于签名的系统进行匹配——但人工智能现在正将其技术转向推理,以预测新类型的攻击。通过分析大量的数据、事件类型、来源和结果,人工智能技术可以识别出新颖的攻击形式和类型。这一点至关重要,因为攻击技术将随着其他技术的进步而不断发展。
FireEye公司在其MalwareGuard产品中提供了一个很有前途的新攻击识别示例。它使用机器学习算法来发现尚未创建或不存在的新的、变种或高级攻击。其引擎利用私有和公共数据源,包括约1700万个部署的端点安全代理、基于超过100万小时攻击响应时间的攻击分析,以及在全球和多语言安全分析师网络中收集的对抗性情报。
3.行为分析和风险评分
在广告等不太重要的领域开创的行为分析技术现在正朝着身份认证和反欺诈的关键用例发展。在这里,AI算法挖掘了用户和设备的大量行为模式、地理位置、登录参数、传感器数据以及无数其他数据集,以得到用户或真实身份的得分或可能性。
万事达卡的NuData Security是一个平台,它利用多因素大数据分析来评估风险,并为终端和用户安全开发每个事件的动态概况。该公司使用机器和深度学习来分析四个领域:
行为:浏览器类型、流量变化、浏览速度、页面停留时间。
被动生物识别技术:唯一用户的打字速度、设备角度、按键和压力。
智能:特定设备的已知连接与新连接、位置和网络进行交互。
Trust Society:万事达卡的大数据仓库,可以在人群层面分析数十亿个数据点。
4.基于用户的威胁检测
从流氓内部人员到特权滥用和管理滥用,再到邪恶的行为者,人类代表了网络风险的重要和多样的媒介。于是,人工智能技术应运而生,它可以检测用户在IT环境中交互的变化,并在受到攻击的情况下表征他们的行为。
LogRhythm Inc正在使用其下一代SIEM平台CloudAI进行基于用户的威胁检测。具体来说,公司将不同的用户账号(VPN、工作邮箱、个人云存储)和相关标识(如用户名、邮箱)映射到实际用户的身份上,从而建立全面的行为基准和用户档案。此外,CloudAI旨在随着时间的推移而发展,用于当前和未来的威胁检测。分析师在正常的调查过程中训练系统,并从整个平台的扩展客户群中收集数据进行威胁训练。CloudAI还可以配置模型通过不断调整进行自我修复,无需人工干预。
VectraAI Inc .通过分析攻击生命周期,对此使用案例采取了一种与众不同的方法。Cognito平台使用大约60个机器学习模型来分析所有行为——攻击者在攻击生命周期中可能执行的包。
括远程访问工具,隐藏的隧道,后门,侦察工具,凭据滥用和渗透-其Cognito平台声称将传统方法转变为用户为防御者提供多种机会来检测攻击者,从而实现基于威胁的威胁检测。5.跨端点终止链的设备上检测
企业中移动设备的兴起迎来了网络安全威胁的新时代,并改变了端点安全的性质。企业通常管理传统的端点(如笔记本电脑),而如今的移动“系统管理员”是最终用户。无论是员工,消费者还是黑客,此人都决定下载,应用程序,通信渠道和网络交互。此外,应用程序通常位于自己的容器中,从而限制了传统的补丁程序管理。这种根本不同的配置意味着,攻击者旨在通过提供根访问漏洞,破坏整个设备,同时有效避开企业网络来保持持久性。结果,移动端点保护必须确保整个杀伤链-从网络钓鱼试图伪造应用程序或网络到各种形式的不同恶意攻击。在这里,管理员可以跨每种攻击媒介应用机器学习,而不是为每种攻击媒介部署不同的检测系统,以便预测任何给定点交互威胁系统性接管的可能性。
Zimperium是一家专门从事移动端点安全的公司,它使用机器学习在整个移动终止链中提供设备上的检测,从而监视所有恶意软件,网络钓鱼,设备,应用程序和网络交互。尽管目前不在设备上运行机器学习模型,但Zimperium在通过基于云的深度学习技术派生的设备上部署了基于机器学习的检测。它可在超过7,000万台设备中使用,可监视所有恶意软件,网络钓鱼,设备,应用程序和网络交互中所有媒介的匿名数据,并使用云分析特定的攻击路径,识别信号中的噪声,运行测试方案并将分类器部署到改进逻辑和算法,然后将其应用于设备上的检测。此提要-提要-提要-提要反馈环路对于在攻击或实现持久接管之前最好地检测整个杀伤链中的当前和新威胁类型至关重要。
6.断开连接的环境中的主动安全性
随着数据和设备渗透到物理世界中,确保并减少平均检测时间和平均响应时间的能力成为连接性和计算能力的问题。日益复杂的技术基础架构意味着对其运营的安全性,安全性和效率的更高要求,这对于在航空,能源,国防和海事等关键任务环境中实现数据价值至关重要。在这些环境中,仍需要大量计算密集型AI应用程序,但新技术不断涌现,可通过本地支持促进基于机器学习的脚本,文件,文档和恶意软件分析的安全性。
称自己为AI公司而非安全公司的SparkCognition支持不连接环境中的应用程序。在当前使用911调度中心进行部署的情况下,由于其托管的敏感信息,该地方往往在不连贯的环境中运行,SparkCognition的DeepArmor通过现场管理控制台运行。具体来说,DeepArmor使用机器学习对大约20,000个独特文件功能进行静态文件分析,以确定在几秒钟内恶意活动的可能性。尽管管理员必须在这些环境中手动执行模型更新,但DeepArmor没有签名,这意味着它不需要每日签名扫描。