人工智能在這場(chǎng)戰(zhàn)爭(zhēng)中是否起作用？

在網(wǎng)絡(luò)大流行不堪重負(fù)之前，通常會(huì)在每周一次的國(guó)家級(jí)新聞廣播中報(bào)道數(shù)據(jù)泄露或勒索軟件的故事，因?yàn)楸M管網(wǎng)絡(luò)安全界做出了最大的努力，但泄露新聞還是很容易找到的。 全球在網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)上的支出每年超過(guò)$ 100B， 并且正在以接近兩位數(shù)的速度增長(zhǎng)。麻省理工學(xué)院報(bào)告說(shuō)，僅勒索軟件就可能在2019年給美國(guó)造成超過(guò)$ 7B的損失，而受害組織的數(shù)據(jù)泄露的平均成本總計(jì)接近$ 4MM。

顯然，要保護(hù)全球無(wú)休止的電子信息在網(wǎng)絡(luò)上的存儲(chǔ)，以免受眾多從事竊取和利用它的網(wǎng)絡(luò)罪犯的攻擊，這是一個(gè)持續(xù)的挑戰(zhàn)，它將要求好人利用所有可用的技術(shù)。那么，人工智能在這場(chǎng)戰(zhàn)爭(zhēng)中是否起作用？簡(jiǎn)短的答案是：絕對(duì)。較長(zhǎng)的版本需要一些快速的網(wǎng)絡(luò)安全背景。

甚至廣大公眾也意識(shí)到Equifax，Sony，Target，Yahoo以及最近在2019年Facebook，Marriott和CapitalOne 等重大違規(guī)事件。最近，勒索軟件攻擊已成為信息安全頭條新聞，因?yàn)?a href="http://www.ttokpm.com/tags/比特幣/" target="_blank">比特幣使網(wǎng)絡(luò)犯罪分子能夠不受懲罰地將成功的攻擊貨幣化。從流行的新聞報(bào)道中不太明顯的是，不良演員如何滲透這些公司。大多數(shù)漏洞是兩種常規(guī)攻擊技術(shù)之一的結(jié)果：

1.網(wǎng)絡(luò)釣魚活動(dòng)或

2.利用已知的軟件漏洞。

網(wǎng)絡(luò)釣魚是一種攻擊技術(shù)，其中數(shù)千種專門設(shè)計(jì)為看起來(lái)像合法通信的電子郵件發(fā)送給目標(biāo)組織的員工。網(wǎng)絡(luò)釣魚電子郵件要么包含指向旨在誘使受害者輸入個(gè)人信息的網(wǎng)站鏈接，要么包含密碼或附件，該附件在單擊時(shí)會(huì)在其計(jì)算機(jī)上安裝惡意軟件。

另一種類型的攻擊利用了攻擊者可以用來(lái)獲取系統(tǒng)和數(shù)據(jù)訪問(wèn)權(quán)限的軟件漏洞或缺陷。一些軟件漏洞可能難以利用，需要大量專業(yè)知識(shí)才能加以利用，而其他軟件漏洞則相對(duì)容易用于犯罪活動(dòng)?？紤]到典型企業(yè)網(wǎng)絡(luò)的復(fù)雜性以及現(xiàn)代企業(yè)使用的軟件產(chǎn)品的數(shù)量，在任何給定時(shí)間，網(wǎng)絡(luò)都可能具有數(shù)十萬(wàn)甚至數(shù)百萬(wàn)個(gè)漏洞。

盡管出于明顯的原因，公司沒(méi)有公開披露其網(wǎng)絡(luò)上的漏洞數(shù)量，但最近的一篇新聞報(bào)道顯示，明尼蘇達(dá)州藍(lán)十字會(huì)的網(wǎng)絡(luò)上存在超過(guò)20萬(wàn)個(gè) 嚴(yán)重或嚴(yán)重漏洞。

大多數(shù)漏洞報(bào)告都避免透露攻擊的詳細(xì)信息，因此可能很難知道成功的網(wǎng)絡(luò)釣魚攻擊導(dǎo)致了多少個(gè)漏洞，以及利用漏洞利用了多少漏洞，但是Ponemon Institute最近的調(diào)查的受訪者估計(jì)“ 2019年的違規(guī)事件中有60%涉及未修補(bǔ)的漏洞?！?/p>

從表面上看，當(dāng)“簡(jiǎn)單地”修補(bǔ)漏洞可以彌合這些安全漏洞并將其消除為攻擊源時(shí)，這似乎是由于冷漠或過(guò)失導(dǎo)致的不可接受的數(shù)字。但是經(jīng)驗(yàn)豐富的IT專業(yè)人員知道，修補(bǔ)程序-本質(zhì)上是安裝現(xiàn)有軟件的更新版本-不僅耗時(shí)且資源密集，而且更重要的是具有風(fēng)險(xiǎn)。

新軟件的安裝可能會(huì)破壞運(yùn)行該軟件的系統(tǒng)或相鄰的系統(tǒng)，即使在最佳情況下，也必須使關(guān)鍵業(yè)務(wù)系統(tǒng)脫機(jī)，以便有時(shí)間安裝和測(cè)試補(bǔ)丁程序。因此，修補(bǔ)不是萬(wàn)能的靈丹妙藥。 這就是AI來(lái)的地方。

正如我們前面提到的，典型的企業(yè)網(wǎng)絡(luò)在任何給定時(shí)間都可以有成千上萬(wàn)個(gè)漏洞，因此安全和IT團(tuán)隊(duì)的目標(biāo)是對(duì)這些漏洞進(jìn)行優(yōu)先級(jí)排序，以便將資源密集型和風(fēng)險(xiǎn)較大的補(bǔ)丁工作重點(diǎn)放在構(gòu)成漏洞的漏洞上。對(duì)企業(yè)的最高風(fēng)險(xiǎn)。幾乎無(wú)法手動(dòng)（尤其是大規(guī)模）對(duì)這數(shù)千個(gè)漏洞進(jìn)行分類，但是可以采用多種方式來(lái)部署AI以自動(dòng)執(zhí)行優(yōu)先級(jí)排序過(guò)程。

制定有用的優(yōu)先級(jí)漏洞列表的一個(gè)關(guān)鍵因素是，包含漏洞的資產(chǎn)（例如筆記本電腦，連接的設(shè)備，服務(wù)器，路由器）是否在某種程度上是唯一的。為什么？因?yàn)橛薪?jīng)驗(yàn)的黑客會(huì)在網(wǎng)絡(luò)上搜索“異?！辟Y產(chǎn)作為進(jìn)行攻擊的主要目標(biāo)。最好的黑客知道，獨(dú)特的資產(chǎn)通?？梢宰鳛檐浤繕?biāo)，并且在攻擊的早期階段對(duì)不良行為者特別有吸引力。但是，由于典型企業(yè)網(wǎng)絡(luò)中有成千上萬(wàn)的資產(chǎn)，因此普通IT分析師無(wú)法準(zhǔn)確識(shí)別異常資產(chǎn)。

在這里，AI（特別是機(jī)器學(xué)習(xí)）可用于從網(wǎng)絡(luò)上的數(shù)千個(gè)過(guò)濾異常資產(chǎn)。被標(biāo)識(shí)為異常值的資產(chǎn)漏洞被認(rèn)為是較高的風(fēng)險(xiǎn)，因此也具有更高的優(yōu)先級(jí)，因?yàn)檫@些漏洞由于其獨(dú)特性而更有可能被吸引到這些資產(chǎn)的有經(jīng)驗(yàn)的黑客利用。

此外，當(dāng)黑客識(shí)別出異常資產(chǎn)并成功利用它時(shí)，他（或她）將搜索與剛剛成功利用的資產(chǎn)相似的資產(chǎn)，所有這些都可以收集盡可能多的數(shù)據(jù)和盡可能多的憑據(jù)，同時(shí)花費(fèi)最少的精力。因此，對(duì)這些可能目標(biāo)的識(shí)別是對(duì)網(wǎng)絡(luò)漏洞進(jìn)行風(fēng)險(xiǎn)排名的關(guān)鍵要素。

并非企業(yè)網(wǎng)絡(luò)上的所有資產(chǎn)都是平等創(chuàng)建的。一些服務(wù)器或機(jī)器對(duì)業(yè)務(wù)運(yùn)營(yíng)比其他服務(wù)器或機(jī)器更重要。它們可能包含對(duì)于企業(yè)的日常運(yùn)營(yíng)必不可少的特別敏感的數(shù)據(jù)或電源應(yīng)用程序。這些“關(guān)鍵業(yè)務(wù)”資產(chǎn)的漏洞通常被認(rèn)為是高度優(yōu)先事項(xiàng)。

但是，手動(dòng)確定哪些資產(chǎn)比其他資產(chǎn)更重要。典型網(wǎng)絡(luò)上的龐大資產(chǎn)充其量使這項(xiàng)任務(wù)充其量是困難的，而網(wǎng)絡(luò)和組織的不斷變化的性質(zhì)則使這一難題更加復(fù)雜。

在這種情況下，可以收集IT團(tuán)隊(duì)的補(bǔ)丁程序和其他行為，并與機(jī)器學(xué)習(xí)結(jié)合使用，在一兩個(gè)星期內(nèi)準(zhǔn)確地確定組織中哪些資產(chǎn)一直受到最關(guān)注，因此最有可能被認(rèn)為是業(yè)務(wù)關(guān)鍵的結(jié)論，可以有效地得出結(jié)論，而無(wú)需繁瑣的人工識(shí)別。

如何利用AI自動(dòng)執(zhí)行漏洞優(yōu)先級(jí)處理的另一個(gè)示例是預(yù)測(cè)是否有可能利用新漏洞。每天都會(huì)發(fā)現(xiàn)并發(fā)布新的軟件漏洞，而如今的AI研究人員已經(jīng)開發(fā)出了一些技術(shù)，可以預(yù)測(cè)新發(fā)現(xiàn)的漏洞是否可能被不良行為者用來(lái)攻擊網(wǎng)絡(luò)。

惡意行為者從未使用過(guò)許多（實(shí)際上是大多數(shù)）漏洞來(lái)進(jìn)行攻擊，因此，在有意義的優(yōu)先級(jí)分析中，了解哪些漏洞可能被使用以及哪些漏洞沒(méi)有被使用是一個(gè)因素。

這些只是AI驅(qū)動(dòng)的現(xiàn)代漏洞優(yōu)先級(jí)解決方案可以有效地對(duì)企業(yè)網(wǎng)絡(luò)上成千上萬(wàn)個(gè)漏洞進(jìn)行優(yōu)先級(jí)排序的數(shù)十種因素的三個(gè)示例。沒(méi)有AI的能力，自動(dòng)進(jìn)行漏洞優(yōu)先級(jí)排序是不可能的，而徒勞的手動(dòng)優(yōu)先級(jí)排序?qū)⑹俏ㄒ坏倪x擇，尤其是隨著網(wǎng)絡(luò)上資產(chǎn)數(shù)量的增加。

如果沒(méi)有人工智能，大規(guī)模地進(jìn)行有意義的優(yōu)先排序根本是不可行的。隨著軟件產(chǎn)品的數(shù)量和企業(yè)對(duì)任何業(yè)務(wù)應(yīng)用程序的依賴程度的增加，漏洞的數(shù)量也將增加。減輕這種巨大的信息安全風(fēng)險(xiǎn)的唯一方法是對(duì)所有漏洞進(jìn)行連續(xù)有意義的風(fēng)險(xiǎn)排名，并優(yōu)化修補(bǔ)工作以首先解決最合理的嚴(yán)重漏洞。利用現(xiàn)代AI技術(shù)是實(shí)現(xiàn)此目標(biāo)的唯一方法。