机器学习可以帮助企业更好地了解自身面临的安全威胁,帮助员工专注于更有价值的战略任务。同时,它还可能是解决下一轮WannaCry风波的有力武器。
20世纪中期,Arthur Samuel在AI之后创造了“机器学习”这个短语,并将其定义为“在没有被明确编程的情况下就能学习的能力。”跨大型数据集应用数学技术,机器学习算法可以构建行为模型,并基于新输入的数据,使用这些模型作为对未来进行预测的基础。视频网站(如Netflix)可以根据您之前的历史观看记录为您提供新剧集,自动驾驶汽车可以通过与行人近距离接触的过程了解道路状况,这些都是机器学习在生活中最普遍的例子。
那么,信息安全中的机器学习应用又是什么呢?
原则上来说,机器学习可以帮助企业组织更好地分析威胁,并响应攻击和安全事件。它还可以帮助自动执行一些更为琐碎繁复的工作,这些工作或是任务量巨大或是此前由技术欠缺的安全团队所执行。
除此之外,机器学习在安全性方面的应用也正呈现快速增长的趋势。ABI Research 的分析师估计,到2021年,机器学习在网络安全方面的应用将推动大数据、人工智能(AI)及分析方面的支出增长到960亿美元,与此同时,世界上一些科技巨头也已经纷纷采取措施以更好地保护自己的客户。
例如,谷歌正在利用机器学习来分析在Android上运行的移动终端威胁,以及识别和移除受感染手机中的恶意软件;而云基础设施巨头亚马逊也已经成功收购了初创公司 harvest.AI,并推出了Macie——一种使用机器学习来发现、排序和分类S3云存储上数据的服务。
与此同时,企业安全供应商也一直致力于将机器学习集成到新旧产品线中,旨在进一步改进恶意软检测效率。J. Gold Associates总裁兼首席分析师Jack Gold表示:大多数主流安全公司已从几年前用于检测恶意软件的纯‘基于签名’的系统,转变为试图解释行为及事件,并从各种源中学习判断什么是安全,什么不是的机器学习系统。它仍然是一个新兴的领域,但它也显然是未来的发展方向。AI和机器学习将极大地改变安全运作方式。
虽然这种转变不会在朝夕之间发生,但机器学习已经在某些领域出现。德国电信创新实验室(以及以色列本古里安大学网络安全研究中心)首席技术官Dudu Mimran表示:人工智能——作为一个更广泛的定义,包括机器学习和深度学习——正处于驱动网络防御的早期阶段,但已经在终端、网络、欺诈或SIEM中起到了识别恶意活动模式的明显作用。我相信未来我们会在防御服务中断、归因和用户行为修改等方面看到越来越多的用例。
接下来,我们一起来了解一下机器学习在安全领域的最顶级用例:
1. 使用机器学习来检测恶意活动并阻止攻击
机器学习算法将帮助企业更快地检测恶意活动,并在攻击开始之前予以阻止。英国初创公司Darktrace就成功把握住了这种发展机遇,据悉,这家创立于2013年的公司已经在其基于机器学习的企业免疫解决方案(Enterprise Immune Solution)方面取得了很大成就。
Darktrace公司技术总监David Palmer介绍称,Darktrace曾利用机器学习算法帮助北美一家赌场成功检测到了数据泄露攻击,该攻击使用“联网鱼缸作为进入赌场网络的切入点。”该公司还宣称,在之前肆虐全球的WannaCry勒索软件活动中,其算法也成功防止过一起类似的攻击。
谈及感染了150个国家20多万受害者的WannaCry勒索软件,Palmer表示:我们的算法在几秒钟内,就成功地从一家国民医疗服务(NHS)机构的网络中检测出了攻击,并在该攻击尚未对该机构造成任何破坏前成功缓解了威胁。事实上,我们的客户没有任何一家受到了WannaCry攻击的伤害,甚至包括那些没打补丁的用户。
2. 使用机器学习来分析移动终端
在移动设备上,机器学习已经成为主流,但到目前为止,其大部分活动都是为了改善Google Now、苹果的Siri和亚马逊的Alexa等基于语音的体验。不过,机器学习在安全方面确实有应用。如上所述,谷歌正在使用机器学习来分析针对移动终端的威胁,而企业则在防护自带及自选移动设备上看到了更多机会。
2017年10月,MobileIron和Zimperium宣布合作,帮助企业采用集成了机器学习技术的移动反恶意软件解决方案。MobileIron表示,它将把Zimperium基于机器学习的威胁检测与MobileIron的安全和合规性引擎相集成,并作为组合解决方案出售,该解决方案将解决诸如检测设备、网络及应用程序威胁等方面的挑战,并快速采取自动化措施来防护公司数据。
其他供应商也在寻求支持他们的移动解决方案。Zimperium、LookOut、Skycure(已被赛门铁克收购)以及Wandera,一直被视为移动威胁检测和防御市场中的领军者。他们每家都使用自有的机器学习算法来检测潜在威胁。例如,Wandera推出了其威胁检测引擎 MI:RIAM,据称检测出了超过400种针对企业移动设备的SLocker勒索软件变种。