人工智能的三大無(wú)能無(wú)力
任何技術(shù)都有局限性,AI和人工智能也不例外。其局限有三:檢測(cè)、功耗和人力。
思科一份最近的調(diào)查顯示,39%的CISO稱(chēng)其公司依賴(lài)自動(dòng)化推動(dòng)網(wǎng)絡(luò)安全工作,另有34%稱(chēng)依賴(lài)機(jī)器學(xué)習(xí),32%報(bào)告稱(chēng)高度依賴(lài)人工智能(AI)。CISO如此看好AI令人頗為意外,畢竟,除了識(shí)別惡意行為,AI在網(wǎng)絡(luò)安全方面的應(yīng)用場(chǎng)景似乎也不是很多。
老實(shí)說(shuō),AI絕對(duì)有益于網(wǎng)絡(luò)安全。隨著惡意軟件像流感病毒一樣不斷自我變異,不使用AI幾乎不可能發(fā)展出恰當(dāng)?shù)捻憫?yīng)策略。銀行或信用卡提供商之類(lèi)的金融機(jī)構(gòu)也可以通過(guò)適當(dāng)訓(xùn)練的AI大幅強(qiáng)化其SIEM系統(tǒng),提升欺詐檢測(cè)和預(yù)防能力。但AI并非萬(wàn)靈丹,炒作得再多也不是。事實(shí)上,與其他任何技術(shù)一樣,AI也有其局限性。
1. 騙過(guò)一次就能暢通無(wú)阻:AI可用于欺騙其他AI
這是個(gè)大問(wèn)題。安全人員用AI優(yōu)化威脅檢測(cè)的同時(shí),攻擊者也在琢磨著用AI規(guī)避檢測(cè)。公司企業(yè)用AI以更高的準(zhǔn)確率檢測(cè)攻擊,攻擊者就用AI來(lái)開(kāi)發(fā)更智能、會(huì)進(jìn)化的惡意軟件來(lái)規(guī)避檢測(cè)?;旧希瑦阂廛浖褪怯肁I來(lái)逃過(guò)AI檢測(cè)。惡意軟件一旦通過(guò)了公司的AI檢測(cè)關(guān),可以很輕松在公司網(wǎng)絡(luò)內(nèi)橫向移動(dòng)而不觸發(fā)任何警報(bào),公司的AI會(huì)將惡意軟件的各種探測(cè)行為當(dāng)做統(tǒng)計(jì)錯(cuò)誤加以排除。而到惡意軟件被檢出之時(shí),安全防線(xiàn)早已被洞穿,傷害也可能已經(jīng)造成。
2. 功耗成問(wèn)題:低功耗設(shè)備可能拖不動(dòng)AI
物聯(lián)網(wǎng)(IoT)設(shè)備通常都是低功耗小數(shù)據(jù)量的。如果攻擊者成功將惡意軟件部署到了這一層次,那AI基本就頂不上用了。AI需要大量?jī)?nèi)存、算力和大數(shù)據(jù)才可以發(fā)揮作用。而IoT設(shè)備通常不具備這幾個(gè)條件,數(shù)據(jù)必須發(fā)送到云進(jìn)行處理才可以受到AI的響應(yīng)。而那時(shí),已經(jīng)太遲。就好像出車(chē)禍時(shí)車(chē)載AI會(huì)自動(dòng)撥打報(bào)警電話(huà)并報(bào)告車(chē)輛所處位置,但車(chē)禍已經(jīng)發(fā)生的事實(shí)改變不了。車(chē)輛自動(dòng)報(bào)警可能比等路人幫忙報(bào)警要快一點(diǎn),但仍然無(wú)法預(yù)防撞車(chē)。AI最多有助于在設(shè)備完全失控之前檢測(cè)出有什么不對(duì)勁,或者,在最壞的情況下,讓你不至于失去整個(gè)IoT基礎(chǔ)設(shè)施。
3. 已知的未知:AI無(wú)法分析自己不知道的東西
嚴(yán)格控制的網(wǎng)絡(luò)上AI運(yùn)行良好,但現(xiàn)實(shí)世界繽紛多彩不受控。AI有四大痛點(diǎn):影子IT、BYOD項(xiàng)目、SaaS系統(tǒng)、雇員。無(wú)論你給AI灌注了多少大數(shù)據(jù),都得同時(shí)解決這4個(gè)痛點(diǎn),而這是難度大到幾乎不可能的任務(wù)??傆泄蛦T會(huì)通過(guò)不安全WiFi網(wǎng)絡(luò)在個(gè)人筆記本電腦上打開(kāi)公司的Gmail郵件,然后,敏感數(shù)據(jù)就此流失,AI甚至連知道這一事件的機(jī)會(huì)都沒(méi)有。最終,公司自己的應(yīng)用可以受到AI保護(hù),防止用戶(hù)誤用,但終端用戶(hù)使用你根本感知不到的設(shè)備你是無(wú)法防護(hù)的。另外,僅提供智能手機(jī)App,不提供企業(yè)訪(fǎng)問(wèn)控制,更不用說(shuō)實(shí)時(shí)日志的云系統(tǒng),你又怎么引入AI呢?這種情況,企業(yè)沒(méi)有辦法成功利用機(jī)器學(xué)習(xí)。
AI確實(shí)有所幫助,但它并非游戲規(guī)則顛覆者。AI可用于在受控系統(tǒng)中檢測(cè)惡意軟件或攻擊者,但難以防止惡意軟件被部署在公司系統(tǒng)中,而且除非你確保它能控制你所有終端設(shè)備和系統(tǒng),否則它一點(diǎn)用都沒(méi)有。網(wǎng)絡(luò)攻防戰(zhàn)一直在繼續(xù),只不過(guò),防御者和攻擊者都在用與以往不同的武器,而我們的防御只有在恰當(dāng)部署和管理之下才會(huì)有效。
與其將AI當(dāng)成網(wǎng)絡(luò)安全救星,不如把精力放在更基本的老問(wèn)題上:缺乏控制、缺乏監(jiān)視、缺乏對(duì)潛在威脅的理解。只有了解了用戶(hù)和用戶(hù)使用的設(shè)備,知道用戶(hù)都會(huì)拿這些設(shè)備來(lái)干什么,然后確保所用系統(tǒng)能切實(shí)受到AI的保護(hù),才可以開(kāi)始部署并訓(xùn)練AI。
【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】