機器學(xué)習(xí)正在不斷加的加快前進(jìn)的步伐，是時候來探討這個問題了。人工智能真的能在未來對抗網(wǎng)絡(luò)攻擊，自主地保護(hù)我們的系統(tǒng)嗎?

如今，越來越多的網(wǎng)絡(luò)攻擊者通過自動化技術(shù)發(fā)起網(wǎng)絡(luò)攻擊，而受到攻擊的企業(yè)或組織卻仍在使用人力來匯總內(nèi)部安全發(fā)現(xiàn)，再結(jié)合外部威脅信息進(jìn)行對比。利用這種傳統(tǒng)的方式部署的入侵檢測系統(tǒng)往往需要花費數(shù)周，甚至幾個月的時間，然而就在安全人員修復(fù)的這段時間內(nèi)，攻擊者依然能夠利用漏洞侵入系統(tǒng)，肆意掠奪數(shù)據(jù)。為了應(yīng)對這些挑戰(zhàn)，一些先行者開始利用人工智能來完成日常的網(wǎng)絡(luò)風(fēng)險管理操作。

根據(jù)Verizon Data Breach的報告，超過70%的攻擊是通過發(fā)現(xiàn)補丁利用已知漏洞完成的。同時，調(diào)查結(jié)果表明，一個黑客可以在漏洞公布出來的幾分鐘內(nèi)利用該漏洞嘗試入侵。修復(fù)速度的重要性可見一斑。然而，由于安全專業(yè)人員的短缺再加上大數(shù)據(jù)集需要在安全的狀態(tài)下處理，因此漏洞補救措施無法跟上網(wǎng)絡(luò)攻擊者并不奇怪。

近期，工業(yè)調(diào)查表明組織機構(gòu)平均需要146天的時間才能修復(fù)致命漏洞。這些發(fā)現(xiàn)無疑給我們敲響了警鐘，重新思考現(xiàn)有的企業(yè)安全勢在必行。

攻擊者長期利用機器和自動化技術(shù)來簡化操作。那我們又未嘗不可?

2016年，業(yè)界開始將人工智能和機器學(xué)習(xí)視為圣杯，提高了組織機構(gòu)的檢測和響應(yīng)能力。 利用反復(fù)學(xué)習(xí)數(shù)據(jù)的方式得到的算法，來保證發(fā)現(xiàn)威脅，而這個過程不需要操作者考慮“要找什么東西”的問題。最終，人工智能能夠在三個特定事件中幫助人類自動化解決問題。

大數(shù)據(jù)識別威脅

當(dāng)出現(xiàn)網(wǎng)絡(luò)安全這一概念的時候，所有的組織機構(gòu)就面臨了一個難題。

在過去，關(guān)注網(wǎng)絡(luò)和終端的保護(hù)就可以了，而如今應(yīng)用程序，云服務(wù)和移動設(shè)備(例如平板電腦，手機，藍(lán)牙設(shè)備和智能手表)的加入，使得組織機構(gòu)的發(fā)展這些項目的同時，必須針對它們做好足夠的防御。然而需要防御的攻擊面在不斷擴(kuò)大，在將來會變得更大。

這種“更廣泛和更深層”的攻擊面只會增加如何管理組織中無數(shù)IT和安全工具生成的數(shù)據(jù)的數(shù)量，速度和復(fù)雜性等現(xiàn)有問題。分析、歸一化、優(yōu)先處理被攻破的系統(tǒng)顯得尤為重要。工具越多，挑戰(zhàn)的難度越大;攻擊面越廣，要做的數(shù)據(jù)分析也就越多。 傳統(tǒng)上，手工修復(fù)需要大量的工作人員梳理大量的數(shù)據(jù)連接點和發(fā)現(xiàn)潛在的威脅。在安全人員在努力修復(fù)幾個月時間內(nèi)，攻擊者就能利用漏洞提取數(shù)據(jù)。

突破現(xiàn)有的思維方式、自動化執(zhí)行傳統(tǒng)的安全操作已成為補充稀缺的網(wǎng)絡(luò)安全運營人才的頭等大事。 就是在這種大環(huán)境下，使用人機交互式機器學(xué)習(xí)引擎可以達(dá)到自動化跨不同數(shù)據(jù)類型的數(shù)據(jù)聚合、 搜集評估數(shù)據(jù)到合規(guī)要求、規(guī)范化信息以排除誤報，重復(fù)報告以及大量的數(shù)據(jù)屬性的效果。

更具關(guān)聯(lián)性的風(fēng)險評估

一旦發(fā)現(xiàn)內(nèi)部安全情報與外部威脅數(shù)據(jù)(例如，漏洞利用，惡意軟件，威脅行為者，聲譽智能)相匹配，那么首先要確定的就是這些發(fā)現(xiàn)是否與關(guān)鍵業(yè)務(wù)相關(guān)聯(lián)，否則無法確定真正存在的風(fēng)險及其對業(yè)務(wù)的最終影響。 打個比方，假設(shè)在某次機器的處理過程中，由于機器不知道“coffee服務(wù)器”相比“email務(wù)器”對業(yè)務(wù)的影響，最終導(dǎo)致了補救措施無法集中在真正需要補救的事件中。在這個例子中，人機交互的機器學(xué)習(xí)和高級算法起了適得其反的效果，這不是我們愿意看到的現(xiàn)象。

自學(xué)習(xí)的應(yīng)急響應(yīng)

增加負(fù)責(zé)確定安全漏洞的安全團(tuán)隊和專注于補救這些團(tuán)隊的IT運營團(tuán)隊之間的協(xié)作仍然是許多組織面臨的挑戰(zhàn)。 使用基于風(fēng)險的網(wǎng)絡(luò)安全概念作為藍(lán)圖，可以實施主動安全事件通知和人機交互環(huán)路干預(yù)的自動化過程。 通過建立閾值和預(yù)定義的規(guī)則，企業(yè)、機構(gòu)還可以通過編制補救措施來的方式及時修復(fù)安全漏洞。

雖然機器學(xué)習(xí)可以幫助減少修復(fù)時間，但它是否能夠自主地保護(hù)組織免受網(wǎng)絡(luò)攻擊?

很多時候，無人監(jiān)督的機器學(xué)習(xí)會因為疲于警報以及注意力的原因降導(dǎo)致誤報和警報頻發(fā)。 對于攻擊者來說，這個結(jié)果無疑給他們帶來了破壞機器學(xué)習(xí)的新思路。 但是不得不承認(rèn)的是，如今已經(jīng)達(dá)到了一個臨界點，人類已經(jīng)無法繼續(xù)處理大量的安全數(shù)據(jù)。 這才引出了所謂的人機交互式機器學(xué)習(xí)。

人機交互式機器學(xué)習(xí)系統(tǒng)分析內(nèi)部安全智能，并將其與外部威脅數(shù)據(jù)相關(guān)聯(lián)，幫助人類在海量的數(shù)據(jù)中發(fā)現(xiàn)威脅數(shù)據(jù)。 然后人類通過標(biāo)記最相關(guān)的威脅向系統(tǒng)提供反饋。 隨著時間的推移，系統(tǒng)會根據(jù)人類輸入調(diào)整其監(jiān)測和分析，優(yōu)化發(fā)現(xiàn)真實網(wǎng)絡(luò)威脅和最小化誤報的可能性。

讓機器學(xué)習(xí)在一線安全數(shù)據(jù)評估中取得重大進(jìn)展，使分析人員能夠?qū)Ｗ⒂趯ν{進(jìn)行更高級的調(diào)查，而不是執(zhí)行戰(zhàn)術(shù)性的數(shù)據(jù)處理。