李勇 人工智能发展推动信息安全范式转移
Doug+Drinkwater
人工智能(AI)最早出现于20世紀50年代,但它是当今最热门的技术。
人工智能是描述文本到语音、自然语言处理(NLP)和计算机视觉等一系列技术的概括性术语,它实际上使计算机能够完成通常由人去做的工作。
机器学习作为人工智能最知名的子集,能够像人类一样识别出数据中的模式,并从中进行计算机学习。所采用的算法在没有明确编程指示的情况下能够自己得出推论,其理念是您收集的数据越多,机器就越智能。
在消费层面上,人工智能应用案例包括聊天机器人、亚马逊的Alexa和苹果的Siri,而企业方面则看到人工智能软件有助于治愈疾病,优化企业绩效,例如改善客户体验和增强欺诈检测等。
人们热衷于人工智能是有原因的;Narrative Science调查发现,38%的企业已经在使用人工智能,到2018年这一数字会增长到62%,而Forrester研究预测今年人工智能投资将同比增长300%。人工智能显然已经不可动摇。
安全也想分一杯羹
由于网络犯罪和恶意软件的不断演进,信息安全也想在人工智能上分一杯羹。
通过筛选大量数据集,人工智能能够学习行为模式,查找那些“已知的未知的”安全威胁,自动响应SOC(安全运维中心),更好地进行攻击修复,从而为CISO(首席信息安全官)提供帮助。总之,由于经验丰富的人才越来越难求,人工智能填补了一些(但不是全部)差距。
专家们呼吁应该建立智能、自主的安全系统,美国密码学家Bruce Schneier相信,人工智能可以提供答案。
弹性系统公司的首席技术官说:“它有些被夸大了,因为安全只是炒作而已,但它是好东西。
由于人工智能的存在而不需要人类去从事网络安全工作——我们据此理想还非常遥远,但人们对使用人工智能促进人类的发展非常感兴趣,这会使人类更加智慧。您仍然需要人来保护您。好的系统会同时使用人和技术。”
未来学家Martin Ford是《机器人崛起》(Rise of the Robots)的作者,他说,白帽和黑帽黑客都已经在利用这些技术,例如深度学习神经网络。
Ford告诉CSO(首席安全官):“黑帽和白帽都在使用它。有人担心,在某些情况下,犯罪分子会抢先一步,不断地利用僵尸程序,自动进行攻击。这种情形很快就会变得更加复杂。
人工智能在检测威胁和系统防御方面越来越重要。然而,很多企业仍然依靠手工操作过程——如果想让系统一直保持安全,那就必须改变这种情形。”
好在一些CISO正在准备这样做。
Intertek CISO Dane Warren说:“它改变了游戏规则。通过增强自动化、编排、机器人和智能代理等功能,业界将在进攻和防御能力上取得更大的进步。”
Warren补充说,“它带来的进步可能包括更快地响应安全事件,更好的数据分析和使用统计模型来更好地预测行为”。
NATS的CISO Andy Rose也看到了好处:“安全一直需要利用智能过程从大量不同的数据中发现趋势和异常——无论是识别和阻止垃圾邮件,还是查找数据泄露通道。
人很难应对数量庞大的数据,所以人工智能是加速安全问题检测并自动完成检测的完美的解决方案。”
安全应用案例见证了初创公司的繁荣
安全提供商一直随着不断变化的威胁态势而向前发展,人工智能也是如此。
然而,供应商的转型还跟不上技术的自然发展,因此,很快出现了一些提供新的人工智能解决方案的初创公司,他们的解决方案提高了SOC的效率,降低了风险,增强了对异常网络流量的检测。
新成立的Tanium、Cylance和小一些的LogRhythm等公司都闯入了这一领域,而Darktrace、Harvest.AI、PatternEx(麻省理工学院出来的)和StatusToday这样的初创企业引起了业界的关注。相对不太知名的SparkCognition在2016年BlackHat上发布了所谓的第一个人工智能认知视听系统。
技术巨头现在也参与到安全领域的人工智能中;谷歌正在致力于基于人工智能的系统,取代传统的CAPTCHA格式,其研究人员教给人工智能自己进行加密。IBM本月早些时候推出了Watson for Cyber Security,而在1月份,亚马逊收购了Harvest.AI,该公司使用算法来识别企业的重要文件和IP,然后利用数据丢失预防技术进行用户行为分析,以防止受到攻击。
有些人把这些产品描述为“第一代”人工智能安全解决方案,主要侧重于筛选数据、查找威胁,以及督促人们去进行修复。将来,人工智能可以自动的全天时运行SOC,使工作人员能够专注于业务连续性和关键支持问题。
Rose表示同意:“我开始时是把人工智能看成一个智能助手——能够处理许多输入,完成专家级的分析和流程,增加人工智能将支持安全专业人员进行更高级别的分析和决策。”
Ignacio Arnaldo是PatternEx的首席数据科学家,该公司提供了一个人工智能检测系统,可以自动执行SecOps中的任务,例如能够从网络、应用程序和端点日志中检测APT。他说,人工智能帮助CISO提高了自动化水平。
“CISO非常清楚这些问题——他们很难聘到人才,而且还有很多的设备和数据需要进行分析。CISO承认需要能够提高其SOC效率的工具。人工智能虽然很有希望,但CISO还没有看到有明确的或者证明能够提高人类效率的人工智能平台。”
Darktrace首席技术官Dave Palmer所在的公司为全世界60个国家的数千家公司提供机器学习技术,他说:“越来越多的CISO充分认识到全球性的技术短缺,对Dropbox、NSA/CIA和JPMorgan等成熟的组织成功进行的大规模攻击都是相互关联的。
无论安全团队获得多少资金,都不能用传统的方法来保证高安全性,这些方法明显是失败的,并且在10年内不会有机会应用在越来越数字化的经济中。”
人工智能在应对基础问题和网络犯罪上还不成熟
但是对于所有这些,有些人认为我们操之过急。毕竟,在许多公司仍然没有定期进行补丁管理的时代,人工智能似乎是个奢侈品。
在今年的RSA会议上,密码专家探讨了人工智能如何应用于安全,并提出了怎样训练机器以及人类的角色是什么等问题。还提到了机器可靠性和监督问题,还有人则提示说,奇怪的是,人工智能所实现的安全常常被基本的基础问题所击败。
Rose說:“我完全同意。安全专业人员需要不断重新评估基础问题——补丁、文化、SDLP等,否则,人工智能只是一个解决方案,只是告诉您不能也无法防范的大量违规行为。”
Schneier对此有些不同的看法。他认为无论安全怎么发展都有可能在基础问题上失败,他尖锐地指出,人工智能应该只适用于那些已经具备安全意识和流程,并准备利用机器数据的人。
他说,伦理只是涉及到完全自动化的一个问题,他并不关心这些工具是被黑帽黑客还是监管机构使用。
而Ford不同意,他说:“我认为这是一个巨大的威胁。我会将其列为近中期与人工智能相关的最大危险之一。人们对‘超级智能机器统治非常关注,但这是相当遥远的未来。现在主要关心的是当坏人有机会使用人工智能时,他们会干出什么事情来。”
Warren认为,CISO要克服一些障碍。“这是前瞻性的思想,许多企业仍然挣扎在基础问题上。”
他补充说,“这些使得人工智能带来的好处面临挑战,例如昂贵的应用程序重写,以及有可能引入新的威胁等。...技术的进步引入了新的威胁载体。
需要平衡,否则环境会不断发展,以至于业界根本跟不上。”
人工智能安全不是灵丹妙药
人工智能和安全不一定是完美的搭配。正如Vectra CISO Gunter Ollmann最近所发表的博文,流行的说法是“安全自动化就是人工智能安全”,他还指出,CISO购买不需要的解决方案会存在风险,而人工智能在伦理、质量控制和管理上还有很多问题。
Arnaldo批评指出,人工智能安全也不是灵丹妙药。“有些攻击很难被抓住:针对某一企业,针对许多不同的数据源,在各个时间段都会有各种的攻击。
而且,攻击在不断变化...因此;最大的挑战是训练人工智能。”
如果这还没有充分说明人工智能解决方案的问题,Palmer进一步强调了他的观点。
“很多被吹捧出来的机器学习发明,在客户的环境中并没有真正进行任何学习。相反,他们提供了在供应商云中对恶意软件样本进行训练的模型,并以反病毒签名的形式下载到客户业务中。这在客户安全方面不是特别进步,基本上还是落后的。”
那么,我们是不是很快能够看到它可以很好地应用于安全领域?
Rose指出:“还差得很远。请注意,大多数IPS系统仍然处于IDS模式,因为企业没有信心依靠‘智能系统对其核心基础设施进行自动选择,在无人监督的情况下进行更改。他们担心,在没有环境限制的情况下,‘控制会损害服务——这是真正的威胁。”
但需求是不可避免的,Ford说:“如果我们不能成功地使用人工智能来提高安全,那么我们会遇到很大的问题,因为坏人一定会使用它。”
Palmer说:“我绝对相信增加自动化和易用性是我们提高安全的唯一方法,人工智能将在其中扮演重要角色。”
原文网址:
http://www.csoonline.com/article/3184577/application-development/ai-will-transform-information-security-but-it-won-t-happen-overnight.html
