机器学习:数据中心网络安全的必备条件

如今,无论是网络上传输的数据量,还是攻击工具的复杂程度,都已经超出了人们所能手动检测的能力范围。

AI(Artificial Intelligence) concept.

数据中心网络也因为其速度越来越快、范围越来越大,而变得越来越难以保护了。在其中传输的数据量,已经远远超出了人们所能手动监控的规模。即便,合格的安全专家人数正在日益增加,仍无法满足如今这种数据量爆炸式增长的需求。

更糟糕的是,攻击者正在使用日益复杂的新型攻击媒介组织攻击活动,而安全团队却被掩埋在庞大的数据流中,无法及时接收到威胁信息。

此外,攻击者的武器库也正变得越来越强大。开源AI工具的可用性,意味着攻击者可以比以往更快地部署更复杂和更具破坏性的攻击活动。

与此同时,对于受害者而言,违规成本也正变得越来越昂贵。对于规模较小的公司而言,一次高调的数据泄露或勒索事件完全可能导致其面临破产倒闭的结局。

安全专家表示,通过机器学习增强安全功能不仅有助于提高安全性,也正变得越来越迫切,已经成为数据中心网络安全的一项必备条件。

那些不采用人工智能和机器学习技术,来通过自动化为基于行为的安全提供支持(尤其是在攻击响应和补救方面)的数据中心运营商,将最终因为无法跟上威胁技术的发展步伐,而将自身变得脆弱不堪。

目前,安全厂商正在为其产品添加人工智能和机器学习功能,来帮助用户更好地检测威胁,实现自动化响应,以及帮助进行攻击的取证分析。

威胁检测

用于威胁检测的三种主要机器学习技术是分类,异常检测和风险评分。

例如,如果存在大量已知恶意行为和已知良好行为的集合,则可以训练机器学习系统对这两个类别之间的新行为进行分类。

该技术目前主要用于改进恶意软件检测 ——通过在善意软件和恶意软件的示例上训练该机器学习系统来区分这两者。

通过异常检测,系统可以了解网络上的典型行为,并查找任何异常情况。安全专家指出,数据中心网络特别适合利用异常检测技术。

数据中心网络通常通过DevOps实现良好控制和自动化,在这种环境下,通过机器学习检测完成的环境通常要比一般的企业环境更具安全性。

不过,分类和异常检测可能会产生许多潜在的威胁。这时候,风险评分技术就可以对它们进行分类和排序,帮助安全人员区分优先级,有序且有效地处理潜在威胁。

风险评分不仅有助于识别潜在威胁,还有助于发现网络中的弱点,并建议安全人员应该优先处理哪些漏洞。

想要实现风险评分过程,首先要充分了解网络上的设备、应用程序和用户,以及是否所有内容都已经正确配置并完全修复。这一过程可能并不像听起来一般简单,因为网络和风险都可以快速变化,需要修复的事物数量很快就会超过可用时间

机器学习可以帮助人类专家扩展其在分析网络状态和行为方面的专业知识。此外,它还可以帮助评估现有的安全控制措施是否足够,并通过适当校准以防御当前的威胁场景。

Gartner将其称为“风险感知漏洞管理”。

先进的风险感知漏洞管理产品还可以评估每个可能的漏洞的业务风险,并提出相应的修复建议。

机器学习(ML)辅助取证

在安全专业人员调查安全事故时,需要从不同的系统中提取日志,并对其进行扫描以获取相关信息,而这一过程可能需要花费大量时间。

通过机器学习驱动的取证,可以通过立即提取他们最有可能想要看到的数据,来大大简化这一过程。

响应自动化

一旦成功识别出威胁,缓解的速度越快,威胁所造成的损害也将越小。

通过自动化一部分响应过程,可以大幅减少反应时间,并将安全团队从繁复的检测和响应任务中释放出来,以专注于更具挑战性的问题。但问题是,创建自动化脚本本身就很耗时。

幸运的是,通过AI,该机器学习系统可以对公司的事件响应历史进行训练,并为缓解活动提出有针对性的建议。对于那些风险最小且能够提供最大价值的缓解建议,可以自动执行;而其他建议则需要提交给人类分析师进行分析审核。

这一过程中同样存在一个重大障碍,就是数据中心经常会使用多个安全解决方案,而这些解决方案彼此之间无法很好地兼容。

安全专家认为,对于组织而言,将其安全系统集成到一个单一的整体安全结构(可提供单一窗格管理和可视性)中是至关重要的。由于缺乏可见性,大多数数据中心缺乏真正的自动化。 而最安全的数据中心应该能够基于适当的可见性来捕获威胁,并使用自动化来隔离可疑用户。

当然,看到这,人们一定存在这样一个疑惑:一旦AI完全部署在数据中心,这是否意味着将不再需要人类安全专家?

答案自然是否定的!因为AI能够实现的事情仍然有限。对于我们来说,真正的问题在于应该如何正确地使用、解释并从安全事件中得出正确的结论。而就目前而言,这些问题仍然是需要依赖人类安全专家才能实现的事情。

上一篇:零信任安全的4W1H

下一篇:CSS2018安全领袖峰会:汇聚全球安全领袖 共建数字安全新生态