如今，無論是網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量，還是攻擊工具的復(fù)雜程度，都已經(jīng)超出了人們所能手動檢測的能力范圍。

[[241485]]

數(shù)據(jù)中心網(wǎng)絡(luò)也因為其速度越來越快、范圍越來越大，而變得越來越難以保護(hù)了。在其中傳輸?shù)臄?shù)據(jù)量，已經(jīng)遠(yuǎn)遠(yuǎn)超出了人們所能手動監(jiān)控的規(guī)模。即便，合格的安全專家人數(shù)正在日益增加，仍無法滿足如今這種數(shù)據(jù)量爆炸式增長的需求。

更糟糕的是，攻擊者正在使用日益復(fù)雜的新型攻擊媒介組織攻擊活動，而安全團(tuán)隊卻被掩埋在龐大的數(shù)據(jù)流中，無法及時接收到威脅信息。

此外，攻擊者的武器庫也正變得越來越強(qiáng)大。開源AI工具的可用性，意味著攻擊者可以比以往更快地部署更復(fù)雜和更具破壞性的攻擊活動。

與此同時，對于受害者而言，違規(guī)成本也正變得越來越昂貴。對于規(guī)模較小的公司而言，一次高調(diào)的數(shù)據(jù)泄露或勒索事件完全可能導(dǎo)致其面臨破產(chǎn)倒閉的結(jié)局。

安全專家表示，通過機(jī)器學(xué)習(xí)增強(qiáng)安全功能不僅有助于提高安全性，也正變得越來越迫切，已經(jīng)成為數(shù)據(jù)中心網(wǎng)絡(luò)安全的一項必備條件。

那些不采用人工智能和機(jī)器學(xué)習(xí)技術(shù)，來通過自動化為基于行為的安全提供支持(尤其是在攻擊響應(yīng)和補(bǔ)救方面)的數(shù)據(jù)中心運(yùn)營商，將最終因為無法跟上威脅技術(shù)的發(fā)展步伐，而將自身變得脆弱不堪。

目前，安全廠商正在為其產(chǎn)品添加人工智能和機(jī)器學(xué)習(xí)功能，來幫助用戶更好地檢測威脅，實現(xiàn)自動化響應(yīng)，以及幫助進(jìn)行攻擊的取證分析。

威脅檢測

用于威脅檢測的三種主要機(jī)器學(xué)習(xí)技術(shù)是分類，異常檢測和風(fēng)險評分。

例如，如果存在大量已知惡意行為和已知良好行為的集合，則可以訓(xùn)練機(jī)器學(xué)習(xí)系統(tǒng)對這兩個類別之間的新行為進(jìn)行分類。

該技術(shù)目前主要用于改進(jìn)惡意軟件檢測 ——通過在善意軟件和惡意軟件的示例上訓(xùn)練該機(jī)器學(xué)習(xí)系統(tǒng)來區(qū)分這兩者。

通過異常檢測，系統(tǒng)可以了解網(wǎng)絡(luò)上的典型行為，并查找任何異常情況。安全專家指出，數(shù)據(jù)中心網(wǎng)絡(luò)特別適合利用異常檢測技術(shù)。

“數(shù)據(jù)中心網(wǎng)絡(luò)通常通過DevOps實現(xiàn)良好控制和自動化，在這種環(huán)境下，通過機(jī)器學(xué)習(xí)檢測完成的環(huán)境通常要比一般的企業(yè)環(huán)境更具安全性。

不過，分類和異常檢測可能會產(chǎn)生許多潛在的威脅。這時候，風(fēng)險評分技術(shù)就可以對它們進(jìn)行分類和排序，幫助安全人員區(qū)分優(yōu)先級，有序且有效地處理潛在威脅。

風(fēng)險評分不僅有助于識別潛在威脅，還有助于發(fā)現(xiàn)網(wǎng)絡(luò)中的弱點(diǎn)，并建議安全人員應(yīng)該優(yōu)先處理哪些漏洞。

想要實現(xiàn)風(fēng)險評分過程，首先要充分了解網(wǎng)絡(luò)上的設(shè)備、應(yīng)用程序和用戶，以及是否所有內(nèi)容都已經(jīng)正確配置并完全修復(fù)。這一過程可能并不像聽起來一般簡單，因為網(wǎng)絡(luò)和風(fēng)險都可以快速變化，需要修復(fù)的事物數(shù)量很快就會超過可用時間

機(jī)器學(xué)習(xí)可以幫助人類專家擴(kuò)展其在分析網(wǎng)絡(luò)狀態(tài)和行為方面的專業(yè)知識。此外，它還可以幫助評估現(xiàn)有的安全控制措施是否足夠，并通過適當(dāng)校準(zhǔn)以防御當(dāng)前的威脅場景。

Gartner將其稱為“風(fēng)險感知漏洞管理”。

先進(jìn)的風(fēng)險感知漏洞管理產(chǎn)品還可以評估每個可能的漏洞的業(yè)務(wù)風(fēng)險，并提出相應(yīng)的修復(fù)建議。

機(jī)器學(xué)習(xí)(ML)輔助取證

在安全專業(yè)人員調(diào)查安全事故時，需要從不同的系統(tǒng)中提取日志，并對其進(jìn)行掃描以獲取相關(guān)信息，而這一過程可能需要花費(fèi)大量時間。

通過機(jī)器學(xué)習(xí)驅(qū)動的取證，可以通過立即提取他們最有可能想要看到的數(shù)據(jù)，來大大簡化這一過程。

響應(yīng)自動化

一旦成功識別出威脅，緩解的速度越快，威脅所造成的損害也將越小。

通過自動化一部分響應(yīng)過程，可以大幅減少反應(yīng)時間，并將安全團(tuán)隊從繁復(fù)的檢測和響應(yīng)任務(wù)中釋放出來，以專注于更具挑戰(zhàn)性的問題。但問題是，創(chuàng)建自動化腳本本身就很耗時。

幸運(yùn)的是，通過AI，該機(jī)器學(xué)習(xí)系統(tǒng)可以對公司的事件響應(yīng)歷史進(jìn)行訓(xùn)練，并為緩解活動提出有針對性的建議。對于那些風(fēng)險最小且能夠提供最大價值的緩解建議，可以自動執(zhí)行;而其他建議則需要提交給人類分析師進(jìn)行分析審核。

這一過程中同樣存在一個重大障礙，就是數(shù)據(jù)中心經(jīng)常會使用多個安全解決方案，而這些解決方案彼此之間無法很好地兼容。

安全專家認(rèn)為，對于組織而言，將其安全系統(tǒng)集成到一個單一的整體安全結(jié)構(gòu)(可提供單一窗格管理和可視性)中是至關(guān)重要的。由于缺乏可見性，大多數(shù)數(shù)據(jù)中心缺乏真正的自動化。 而最安全的數(shù)據(jù)中心應(yīng)該能夠基于適當(dāng)?shù)目梢娦詠聿东@威脅，并使用自動化來隔離可疑用戶。

當(dāng)然，看到這，人們一定存在這樣一個疑惑：一旦AI完全部署在數(shù)據(jù)中心，這是否意味著將不再需要人類安全專家?

答案自然是否定的!因為AI能夠?qū)崿F(xiàn)的事情仍然有限。對于我們來說，真正的問題在于應(yīng)該如何正確地使用、解釋并從安全事件中得出正確的結(jié)論。而就目前而言，這些問題仍然是需要依賴人類安全專家才能實現(xiàn)的事情。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文