Chris Davis, Machine Learning Use Cases for Cybersecurity - KringleCon 2019
機器學習可以幫助企業,更好地瞭解自身面臨的安全威脅,幫助員工專注於更有價值的策略任務。同時,它還可能是解決下一輪 WannaCry 風波的有力武器。
20 世紀中期,Arthur Samuel 在 AI 之後創造了「機器學習」這個名詞,並將其定義為「在沒有被明確編程的情況下,就能學習的能力。」跨大型數據集應用數學技術,機器學習算法可以建構行為模型,並根據新輸入的數據,使用這些模型,作為對未來進行預測的基礎。
影像網站(如Netflix)可以根據你之前的歷史觀,看記錄為你提供新劇集,自動駕駛汽車可以透過與行人近距離接觸的過程,瞭解道路狀況,這些都是機器學習在生活中最普遍的例子。
那麼,資訊安全中的機器學習應用又是什麼呢?
原則上來說,機器學習可以幫助企業組織更好地分析威脅,並響應攻擊和安全事件。它還可以幫助自動執行一些更為瑣碎繁複的工作,這些工作或是任務量巨大,或是此前由技術欠缺的安全團隊所執行。
除此之外,機器學習在安全性方面的應用,也正呈現快速成長的趨勢。ABI Research 的分析師估計,到 2021 年,機器學習在網路安全方面的應用,將推動大數據、人工智慧(AI)及分析方面的支出,成長到 960 億美元,與此同時,世界上一些科技巨頭,也已經紛紛採取措施,以更好地保護自己的客戶。
例如,谷歌正在利用機器學習,來分析在 Android 上運行的行動終端威脅,以及辨識和移除受感染手機中的惡意軟體;而雲端基礎設施巨頭亞馬遜,也已經成功收購了新創公司 harvest.AI,並推出了 Macie —— 一種使用機器學習來發現、排序和分類 S3 雲端儲存上數據的服務。
與此同時,企業安全供應商也一直致力於,將機器學習整合到新舊產品線中,旨在進一步改進惡意軟體檢測效率。J. Gold Associates 總裁兼首席分析師 Jack Gold 表示:大多數主流安全公司已從幾年前,用於檢測惡意軟體的純「基於簽名」的系統,轉變為試圖解釋行為及事件,並從各種源中學習判斷什麼是安全,什麼不是的機器學習系統。
它仍然是一個新興的領域,但它也顯然是未來的發展方向。AI和機器學習,將極大地改變安全運作方式。
雖然這種轉變不會在朝夕之間發生,但機器學習已經在某些領域出現。德國電信創新實驗室(以及以色列本古里安大學網路安全研究中心)首席技術官 Dudu Mimran 表示:人工智慧 —— 作為一個更廣泛的定義,包括機器學習和深度學習 —— 正處於驅動網路防禦的早期階段,但已經在終端、網路、詐欺或 SIEM 中,起到了辨識惡意活動模式的明顯作用。
我相信未來我們會在防禦服務中斷、歸因和使用者行為修改等方面,看到越來越多的案例。
接下來,我們一起來瞭解一下機器學習,在安全領域的最頂級案例:
1. 使用機器學習來檢測惡意活動,並阻止攻擊
機器學習算法,將幫助企業更快地檢測惡意活動,並在攻擊開始之前予以阻止。英國新創公司 Darktrace,就成功把握住了這種發展機會,據悉,這家創立於 2013 年的公司,已經在其基於機器學習的企業免疫解決方案(Enterprise Immune Solution)方面,取得了很大成就。
Darktrace 公司技術總監 David Palmer 介紹稱,Darktrace 曾利用機器學習算法,幫助北美一家賭場,成功檢測到了數據洩露攻擊,該攻擊使用「聯網魚缸作為進入賭場網路的切入點。」該公司還宣稱,在之前肆虐全球的 WannaCry 勒索軟體活動中,其算法也成功防止過一起類似的攻擊。
談及感染了 150 個國家 20 多萬受害者的 WannaCry 勒索軟體,Palmer 表示:我們的算法在幾秒鐘內,就成功地從一家國民醫療服務(NHS)機構的網路中檢測出了攻擊,並在該攻擊尚未對該機構造成任何破壞前,成功解決了威脅。事實上,我們的客戶,沒有任何一家受到了 WannaCry 攻擊的傷害,甚至包括那些沒打補丁的使用者。
2. 使用機器學習來分析行動終端
在行動設備上,機器學習已經成為主流,但到目前為止,其大部分活動都是為了改善 Google Now、蘋果的 Siri,和亞馬遜的 Alexa 等語音的體驗。不過,機器學習在安全方面確實有應用。如上所述,谷歌正在使用機器學習,來分析針對行動終端的威脅,而企業則在防護自帶及自選行動設備上,看到了更多機會。
2017 年 10 月,MobileIron 和 Zimperium 宣佈合作,幫助企業採用整合了機器學習技術的,行動反惡意軟體解決方案。MobileIron 表示,它將把 Zimperium 基於機器學習的威脅檢測,與 MobileIron 的安全和合規性引擎相整合,並作為組合解決方案出售,該解決方案將解決諸如檢測設備、網路及應用威脅等方面的挑戰,並快速採取自動化措施,來防護公司數據。
其他供應商也在尋求支持他們的行動解決方案。Zimperium、LookOut、Skycure(已被賽門鐵克收購)以及 Wandera,一直被視為行動威脅檢測,和防禦市場中的領軍者。
他們每家都使用自有的機器學習算法,來檢測潛在威脅。例如,Wandera 推出了其威脅檢測引擎 MI:RIAM,據稱檢測出了超過400種針對企業移動設備的SLocker勒索軟件變種。
3. 使用機器學習來增強人類分析
作為機器學習在安全領域的核心應用,人們相信它可以幫助人類分析師,處理安全方面的各項工作,包括檢測惡意攻擊、分析網路、終端防護和漏洞評估。而它在威脅情報方面發揮的作用,可以說才是最令人興奮的。
例如,2016 年,麻省理工學院電腦科學和人工智慧實驗室(CSAIL),開發出了一個名為「AI 2」的系統,這是一個自適應機器學習安全平台,能夠幫助分析師,從海量數據中找出真正有用的東西。
該系統每天審查數百萬登錄,過濾數據,並將濾出內容轉送給人類分析師,從而將警報數量降低至每天 100 個左右。這項由 CSAIL 和新創公司 PatternEx,共同進行的實驗顯示,攻擊檢測率被提升到了 85%,而誤報率則降低了 5 倍之多。
4. 使用機器學習自動化重複性安全任務
機器學習的真正好處,是它可以自動化重複性任務,使員工能夠專注在更重要的工作上。Palmer 稱,機器學習最終應該目的在「消除重複性高且低價值的決策活動,對人力的需求,就像分類威脅情報一樣」。
讓機器處理重複性工作,和阻止勒索軟體之類戰術性救火工作,這樣人類就可以騰出時間,來處理戰略性問題 —— 比如現代化 Windows XP 系統等等。
Booz Allen Hamilton 公司正在沿著這條路線發展。據報導,該公司使用人工智慧工具,更高效地分配人類安全資源,對威脅進行分類,以便員工可以專注於最關鍵的攻擊。
5.使用機器學習來關閉零日漏洞
有些人認為機器學習可以幫助彌補漏洞,尤其是零日威脅,和其他針對大部分不安全 IoT 設備的威脅。據《福布斯》報導稱,亞利桑那州立大學的一支團隊,已經透過機器學習技術,來監控暗網流量,以辨識與零日漏洞利用相關的數據。
有了這種洞察力,企業組織就有能力在漏洞,造成數據洩露之前堵上漏洞,並阻止補丁攻擊。
炒作和誤解叢生的領域
需要注意的是,機器學習並非靈丹妙藥,尤其是對於一個仍在對這些技術,進行概念驗證實驗的行業而言。機器學習的發展,必然是道阻且長的過程。
機器學習系統有時會有誤報(無監督學習系統的算法,會基於數據推測類型),而一些分析師也坦率地承認,用在安全領域的機器學習可能是「黑盒子」解決方案,即 CISO 不能完全確定其內部機制,因此,他們只能被迫地將自己的信任與責任,置於供應商和機器的肩上。
畢竟,在一些安全解決方案,甚至可能壓根兒沒用機器學習的世界中,這種盲目信任的想法並不可取。Palmer 表示:大多數被吹捧的機器學習產品,都不會在客戶環境中真正學習。
相反地,它們只是在供應商自己的雲端上,用惡意軟體樣本訓練出模型,再下載到客戶公司,就像病毒簽名似的。這對於客戶安全來說,並不是什麼進步,基本上是在倒退。
此外,算法在投入實際使用前,需要學習模型所需的訓練數據樣本,而這些樣本中存在的糟糕數據和實現,可能會產出更糟糕的結果。機器學習的效果,取決於你輸入的資訊。
垃圾的輸入,必然導致垃圾的輸出。因此,如果你的機器學習算法設計不佳,結果也就不會非常理想。算法在實驗室訓練數據上有用是一回事,但最大的挑戰,還在於讓機器學習網路防禦在現實複雜網路中奏效。
0 comments:
張貼留言