機器學習:數據中心網絡安全的必備條件
責編:gltian |2018-08-27 13:46:03如今,無論是網絡上傳輸的數據量,還是攻擊工具的復雜程度,都已經超出了人們所能手動檢測的能力范圍。
數據中心網絡也因為其速度越來越快、范圍越來越大,而變得越來越難以保護了。在其中傳輸的數據量,已經遠遠超出了人們所能手動監控的規模。即便,合格的安全專家人數正在日益增加,仍無法滿足如今這種數據量爆炸式增長的需求。
更糟糕的是,攻擊者正在使用日益復雜的新型攻擊媒介組織攻擊活動,而安全團隊卻被掩埋在龐大的數據流中,無法及時接收到威脅信息。
此外,攻擊者的武器庫也正變得越來越強大。開源AI工具的可用性,意味著攻擊者可以比以往更快地部署更復雜和更具破壞性的攻擊活動。
與此同時,對于受害者而言,違規成本也正變得越來越昂貴。對于規模較小的公司而言,一次高調的數據泄露或勒索事件完全可能導致其面臨破產倒閉的結局。
安全專家表示,通過機器學習增強安全功能不僅有助于提高安全性,也正變得越來越迫切,已經成為數據中心網絡安全的一項必備條件。
那些不采用人工智能和機器學習技術,來通過自動化為基于行為的安全提供支持(尤其是在攻擊響應和補救方面)的數據中心運營商,將最終因為無法跟上威脅技術的發展步伐,而將自身變得脆弱不堪。
目前,安全廠商正在為其產品添加人工智能和機器學習功能,來幫助用戶更好地檢測威脅,實現自動化響應,以及幫助進行攻擊的取證分析。
威脅檢測
用于威脅檢測的三種主要機器學習技術是分類,異常檢測和風險評分。
例如,如果存在大量已知惡意行為和已知良好行為的集合,則可以訓練機器學習系統對這兩個類別之間的新行為進行分類。
該技術目前主要用于改進惡意軟件檢測 ——通過在善意軟件和惡意軟件的示例上訓練該機器學習系統來區分這兩者。
通過異常檢測,系統可以了解網絡上的典型行為,并查找任何異常情況。安全專家指出,數據中心網絡特別適合利用異常檢測技術。
數據中心網絡通常通過DevOps實現良好控制和自動化,在這種環境下,通過機器學習檢測完成的環境通常要比一般的企業環境更具安全性。
不過,分類和異常檢測可能會產生許多潛在的威脅。這時候,風險評分技術就可以對它們進行分類和排序,幫助安全人員區分優先級,有序且有效地處理潛在威脅。
風險評分不僅有助于識別潛在威脅,還有助于發現網絡中的弱點,并建議安全人員應該優先處理哪些漏洞。
想要實現風險評分過程,首先要充分了解網絡上的設備、應用程序和用戶,以及是否所有內容都已經正確配置并完全修復。這一過程可能并不像聽起來一般簡單,因為網絡和風險都可以快速變化,需要修復的事物數量很快就會超過可用時間
機器學習可以幫助人類專家擴展其在分析網絡狀態和行為方面的專業知識。此外,它還可以幫助評估現有的安全控制措施是否足夠,并通過適當校準以防御當前的威脅場景。
Gartner將其稱為“風險感知漏洞管理”。
先進的風險感知漏洞管理產品還可以評估每個可能的漏洞的業務風險,并提出相應的修復建議。
機器學習(ML)輔助取證
在安全專業人員調查安全事故時,需要從不同的系統中提取日志,并對其進行掃描以獲取相關信息,而這一過程可能需要花費大量時間。
通過機器學習驅動的取證,可以通過立即提取他們最有可能想要看到的數據,來大大簡化這一過程。
響應自動化
一旦成功識別出威脅,緩解的速度越快,威脅所造成的損害也將越小。
通過自動化一部分響應過程,可以大幅減少反應時間,并將安全團隊從繁復的檢測和響應任務中釋放出來,以專注于更具挑戰性的問題。但問題是,創建自動化腳本本身就很耗時。
幸運的是,通過AI,該機器學習系統可以對公司的事件響應歷史進行訓練,并為緩解活動提出有針對性的建議。對于那些風險最小且能夠提供最大價值的緩解建議,可以自動執行;而其他建議則需要提交給人類分析師進行分析審核。
這一過程中同樣存在一個重大障礙,就是數據中心經常會使用多個安全解決方案,而這些解決方案彼此之間無法很好地兼容。
安全專家認為,對于組織而言,將其安全系統集成到一個單一的整體安全結構(可提供單一窗格管理和可視性)中是至關重要的。由于缺乏可見性,大多數數據中心缺乏真正的自動化。 而最安全的數據中心應該能夠基于適當的可見性來捕獲威脅,并使用自動化來隔離可疑用戶。
當然,看到這,人們一定存在這樣一個疑惑:一旦AI完全部署在數據中心,這是否意味著將不再需要人類安全專家?
答案自然是否定的!因為AI能夠實現的事情仍然有限。對于我們來說,真正的問題在于應該如何正確地使用、解釋并從安全事件中得出正確的結論。而就目前而言,這些問題仍然是需要依賴人類安全專家才能實現的事情。