公司越来越多地转向AI,以帮助他们在现代IT环境中进行安全性工作。数据,设备,处理能力,算法和网络系统的指数级增长(对于21世纪竞争的任何企业而言都是宝贵的资产)都伴随着新的风险和漏洞。Gartner引用数据安全,基础设施保护和云安全作为增长最快的安全支出领域,根据2018年12月的报告,Gartner估计公司将在2019年在网络安全风险管理上花费约1,370亿美元。
在这种新现实中,公司意识到被动措施还不够。他们不仅必须扩展和自动执行威胁响应程序,还必须制定积极的措施。
AI功能由一系列技术提供动力,例如机器学习,深度学习,计算机视觉和自然语言处理,以检测模式并进行推理。在网络安全领域,人工智能在网络安全中的作用是识别用户,数据,设备,系统和网络行为的模式,以区分异常与正常。它还可以帮助管理员分析海量数据并调查新威胁类型的海啸,并更快地响应并预先解决威胁。
根据对网络安全市场和供应商的Kaleido Insights的研究和分析,以下是六个常见用例,其中众多供应商中的一些为下一代网络安全产品铺平了道路。
1.人类安全分析师和SOC扩充
人工智能在网络安全中最常见的用例之一是对人类分析师的支持。毕竟,人工智能不太可能取代有经验的安全分析师。在机器擅长的领域,例如,分析大数据,消除疲劳并使人们摆脱繁琐的任务,这样他们就可以利用更加复杂的技能,例如创造力,细微差别和专业知识,来增强人们的能力。在某些情况下,分析人员扩充涉及将预测分析合并到安全运营中心(SOC)工作流中,以进行分类或查询大数据集。
Darktrace的Cyber AI Analyst是一个软件程序,通过仅显示高优先级事件来支持人类分析师。同时,它查询海量数据并在整个网络中枢转以收集调查背景,进行调查并整理低优先级案件。通过分析Darktrace自己的专家分析师如何调查警报来训练在数千个部署中开发的数据集,Cyber AI Analyst使用各种机器学习,深度学习和数学技术来处理n维数据,以机器速度生成数千个查询并进行调查所有并行威胁同时发生。
2.新的攻击识别
尽管恶意软件或其他类型的威胁检测已经存在了很多年-通常将可疑代码与基于签名的系统相匹配-AI现在正在将技术转向推理以预测新的攻击类型。通过分析大量数据,事件类型,来源和结果,人工智能技术能够识别新颖的攻击形式和类型。这是至关重要的,因为攻击技术会随着其他进步而不断发展。
FireEye Inc.在其MalwareGuard产品中提供了一种有希望的新攻击识别示例。它使用机器学习算法查找尚未创建签名或不存在签名的新式,变形或高级攻击。它的引擎利用私人和公共数据源,包括大约1700万个已部署的端点安全代理,基于花费的超过100万小时的攻击响应时间进行的攻击分析,以及在全球和多语言的安全分析师网络中收集的对抗性情报。
3.行为分析和风险评分
在诸如广告之类的不太关键的领域中首创的行为分析技术现在正朝着用于身份验证和反欺诈的关键用例发展。在这里,AI算法挖掘大量的用户和设备行为模式,地理位置,登录参数,传感器数据以及无数其他数据集,以得出用户或真实身份的得分或可能性。
万事达卡的NuData Security是一个利用多因素大数据分析来评估风险并为端点和用户安全性开发每个事件的动态配置文件的平台。该公司使用机器和深度学习来分析四个领域:
行为数据:浏览器类型,流量变化,浏览速度和页面停留时间。
被动生物识别技术:唯一用户的打字速度,设备角度,击键和压力。
设备智能:特定设备的已知连接与新连接,位置和网络交互。
行为信任协会:万事达卡(Mastercard)的大数据存储库,可在人口级别分析数十亿个数据点。
4.基于用户的威胁检测
从流氓内部人员到特权滥用和管理滥用再到邪恶行为者,人类代表着网络风险的重要而多样的媒介。结果,出现了AI技术,以检测用户在IT环境中的交互方式的变化并在攻击的情况下表征其行为。
LogRhythm Inc.正在使用其下一代SIEM平台CloudAI进行基于用户的威胁检测。具体来说,该公司将不同的用户帐户(VPN,工作电子邮件,个人云存储)以及相关的标识符(例如用户名和电子邮件地址)映射到实际用户的身份,以建立全面的行为基准和用户配置文件。此外,CloudAI旨在随着时间的推移而发展,以用于当前和将来的威胁检测。分析师在正常的调查过程中对系统进行培训,并从整个平台的扩展客户群中收集数据以进行威胁培训。CloudAI还可以配置模型以通过连续调整进行自我修复,而无需人工干预。
VectraAI Inc.通过分析攻击生命周期对这种用例采用了差异化的方法。Cognito平台使用约60种机器学习模型来分析攻击者在攻击生命周期中可能执行的所有行为-包括远程访问工具,隐藏的隧道,后门,侦察工具,凭据滥用和渗透-其Cognito平台声称将传统方法转变为用户为防御者提供多种机会来检测攻击者,从而实现基于威胁的威胁检测。
5.跨端点终止链的设备上检测
企业中移动设备的兴起迎来了网络安全威胁的新时代,并改变了端点安全的性质。企业通常管理传统的端点(如笔记本电脑),而如今的移动“系统管理员”是最终用户。无论是员工,消费者还是黑客,此人都决定下载,应用程序,通信渠道和网络交互。此外,应用程序通常位于自己的容器中,从而限制了传统的补丁程序管理。这种根本不同的配置意味着,攻击者旨在通过提供根访问漏洞,破坏整个设备,同时有效避开企业网络来保持持久性。结果,移动端点保护必须确保整个杀伤链-从网络钓鱼试图伪造应用程序或网络到各种形式的不同恶意攻击。在这里,管理员可以跨每种攻击媒介应用机器学习,而不是为每种攻击媒介部署不同的检测系统,以便预测任何给定点交互威胁系统性接管的可能性。
Zimperium是一家专门从事移动端点安全的公司,它使用机器学习在整个移动终止链中提供设备上的检测,从而监视所有恶意软件,网络钓鱼,设备,应用程序和网络交互。尽管目前不在设备上运行机器学习模型,但Zimperium在通过基于云的深度学习技术派生的设备上部署了基于机器学习的检测。它可在超过7,000万台设备中使用,可监视所有恶意软件,网络钓鱼,设备,应用程序和网络交互中所有媒介的匿名数据,并使用云分析特定的攻击路径,识别信号中的噪声,运行测试方案并将分类器部署到改进逻辑和算法,然后将其应用于设备上的检测。此提要-提要-提要-提要反馈环路对于在攻击或实现持久接管之前最好地检测整个杀伤链中的当前和新威胁类型至关重要。
6.断开连接的环境中的主动安全性
随着数据和设备渗透到物理世界中,确保并减少平均检测时间和平均响应时间的能力成为连接性和计算能力的问题。日益复杂的技术基础架构意味着对其运营的安全性,安全性和效率的更高要求,这对于在航空,能源,国防和海事等关键任务环境中实现数据价值至关重要。在这些环境中,仍需要大量计算密集型AI应用程序,但新技术不断涌现,可通过本地支持促进基于机器学习的脚本,文件,文档和恶意软件分析的安全性。
称自己为AI公司而非安全公司的SparkCognition支持不连接环境中的应用程序。在当前使用911调度中心进行部署的情况下,由于其托管的敏感信息,该地方往往在不连贯的环境中运行,SparkCognition的DeepArmor通过现场管理控制台运行。具体来说,DeepArmor使用机器学习对大约20,000个独特文件功能进行静态文件分析,以确定在几秒钟内恶意活动的可能性。尽管管理员必须在这些环境中手动执行模型更新,但DeepArmor没有签名,这意味着它不需要每日签名扫描。