3. 使用机器学习来增强人类分析
作为机器学习在安全领域的核心应用,人们相信它可以帮助人类分析师处理安全方面的各项工作,包括检测恶意攻击、分析网络、终端防护和漏洞评估。而它在威胁情报方面发挥的作用可以说才是最令人兴奋的。
例如,2016年,麻省理工学院计算机科学和人工智能实验室(CSAIL)开发出了一个名为“AI2”的系统,这是一个自适应机器学习安全平台,能够帮助分析师从海量数据中找出真正有用的东西。该系统每天审查数百万登录,过滤数据,并将滤出内容转送给人类分析师,从而将警报数量降低至每天100个左右。这项由CSAIL和初创公司PatternEx共同进行的实验表明,攻击检测率被提升到了85%,而误报率则降低了5倍之多。
4. 使用机器学习自动化重复性安全任务
机器学习的真正好处是它可以自动化重复性任务,使员工能够专注在更重要的工作上。Palmer称,机器学习最终应该旨在“消除重复性高且低价值的决策活动对人力的需求,就像分类威胁情报一样”。让机器处理重复性工作和阻止勒索软件之类战术性救火工作,这样人类就可以腾出时间来处理战略性问题——比如现代化Windows XP 系统等等。
Booz Allen Hamilton公司正在沿着这条路线发展。据报道,该公司使用人工智能工具更高效地分配人类安全资源,对威胁进行分类,以便员工可以专注于最关键的攻击。
5. 使用机器学习来关闭零日漏洞
有些人认为机器学习可以帮助弥补漏洞,尤其是零日威胁和其他针对大部分不安全IoT设备的威胁。据《福布斯》报道称,亚利桑那州立大学的一支团队已经通过机器学习技术来监控暗网流量,以识别与零日漏洞利用相关的数据。有了这种洞察力,企业组织就有能力在漏洞造成数据泄露之前堵上漏洞并阻止补丁攻击。
炒作和误解丛生的领域
需要注意的是,机器学习并非灵丹妙药,尤其是对于一个仍在对这些技术进行概念验证实验的行业而言。机器学习的发展必然是道阻且长的过程。机器学习系统有时会有误报(无监督学习系统的算法会基于数据推测类型),而一些分析师也坦率地承认,用在安全领域的机器学习可能是“黑匣子”解决方案,即CISO不能完全确定其内部机制,因此,他们只能被迫地将自己的信任与责任置于供应商和机器的肩上。
毕竟,在一些安全解决方案甚至可能压根儿没用机器学习的世界中,这种盲目信任的想法并不可取。Palmer表示:大多数被吹捧的机器学习产品都不会在客户环境中真正学习。相反地,它们只是在供应商自己的云上用恶意软件样本训练出模型,再下载到客户公司,就像病毒签名似的。这对于客户安全来说,并不是什么进步,基本上是在倒退。
此外,算法在投入实际使用前需要学习模型所需的训练数据样本,而这些样本中存在的糟糕数据和实现可能会产出更糟糕的结果。机器学习的效果,取决于你输入的信息。垃圾的输入,必然导致垃圾的输出。因此,如果你的机器学习算法设计不佳,结果也就不会非常理想。算法在实验室训练数据上有用是一回事,但最大的挑战还在于让机器学习网络防御在现实复杂网络中奏效。