1. 首頁 > 云知道 > >

人工智能是一種好的網絡安全工具 也是一把雙刃劍( 二 )

攻擊


在DNS方面 , 一個人工智能系統可以檢查DNS流量 , 以跟蹤DNS查詢到權威服務器 , 但沒有收到有效響應的情況 。 “雖然這很難預防 , 但很容易被檢測到 , ”Justin Jett最近在Threatpost的一篇專欄文章中解釋道 , 他是Plixer的審計和合規總監 。 比如序列號0800fc577294c34e0b28ad2839435945.badguy.example[.]net 如果被發送到給定的網絡機器上很多次 , 系統便會向IT專業人員發出警報 。 ”
識別密碼泄露和誤用也是一個很好的例子 。 這種類型的攻擊正變得越來越普遍 , 因為數據泄露后 , 人們的電子郵件和密碼流向了黑暗的網絡 。 例如 , Equifax的漏洞導致數百萬份有效的電子郵件被曝光;2016年的雅虎數據泄露事件中 , 攻擊者獲取了5億個用戶的賬戶信息 。 由于人們傾向于重復使用密碼 , 犯罪分子會在不同的機器上隨機嘗試不同的電子郵件和密碼 , 希望能獲得成功 。
為了識別這種攻擊 , “人工智能在這里是有用的 , 因為它已經給用戶設立了基準線 , ”Jett解釋說 。 “這些用戶每天在多個設備上連接并登錄 。 對于一個人來說 , 在服務器上嘗試數百次登錄是很常見的 , 但是很難找到一個試圖在100臺不同的機器上進行連接的人 , 并且只成功登錄一次 。 ”
人工智能還可以用來自動評估開源代碼的潛在缺陷 。 例如 , 網絡安全公司Synopsys正在利用人工智能自動將已知的漏洞映射到開源項目 , 并評估企業的風險影響;例如 , 它會自動分析數百份法律文件(許可證、服務條款、隱私聲明、HIPAA、DMCA等隱私法) , 以確定任何檢測到的漏洞的合規風險 。
然而 , 在易受攻擊性方面的另一個應用是回顧和預測 。 如果一個新的漏洞被宣布 , 那么就可以通過日志數據來查看它是否在過去被利用了 。 或者 , 如果這確實是一種新的攻擊 , 人工智能就可以評估證據是否足夠確定 , 以確定攻擊者的下一步行動是什么 。
人工智能還能很好地完成單調乏味、重復性的任務——比如尋找特定的模式 。 JASK的首席執行官兼聯合創始人Greg Martin表示 , 這樣一來 , 它的實現可以緩解大多數安全操作中心(SOCs)所面臨的資源限制 。 SOC的工作人員每天都在部署數百個安全漏洞——當然 , 并不是所有的安全漏洞都是真正的攻擊 。
“安全團隊總是被信息所淹沒 , ”451 Research的研究主管Scott Crawford在一次采訪中說 。 “關于對手正在做什么、最新的攻擊工具、惡意軟件的變化以及內部資源生成的大量信息 。 ”在入侵保護空間中 , 日志數據的數量和生成的警報是壓倒性的 。 SIEM市場在一定程度上是為了解決這個問題 , 只是在有需要處理的事情的時候才會浮出水面——但這還不夠 。 因此 , 現在我們看到了處理數據的新技術的興起 , 并通過分析和人工智能來獲得意義 。 ”
目前仍不完美
盡管人工智能在安全領域有很多用途 , 但公司應該謹慎地理解其局限性;這些引擎只和進入它們的數據一樣好 , 而僅僅將數據歸為算法 , 就會告訴分析師什么是不尋常的 , 而不是它們是否重要 。 為人工智能設定參數的數據科學家需要知道如何提出正確的問題來恰當地利用人工智能的能力 。 人工智能應該尋找什么?一旦有了發現 , 人工智能應該做些什么呢?通常 , 需要復雜的流程圖來為期望的結果編寫人工智能程序 。
用具體的術語來說 , 很容易就能訓練人工智能 , 比如說 , 發現小行星帶里的小行星有反常的移動 。 但如果目標是要知道它是否向地球進發 , 那就需要進行仔細調整 。
而且 , 在今天的數字工作場所中 , 有如此多的公司信息 , 以人類監督的形式監測故障是一個好主意 。 簡單地為人工智能分配網絡監督職責可能會產生意想不到的后果 , 比如過分積極地隔離文檔、刪除重要數據或大量拒絕合法信息——這可能會嚴重影響工作效率 。 例如 , 在人工智能的假設下 , 在之前的登錄場景中 , 員工可能只是在旅行 , 所以關閉訪問可能不是最好的主意 。

推薦閱讀