機器學習:現代網路安全英雄?
機器學習與人工智慧可助網路工具一臂之力
網路攻擊日漸複雜精密。新型惡意軟體變體幾乎是每日層出不窮,Web 攻擊數量增加 56%,而表單點擊劫持、挖礦綁架及物聯網 (IoT) 等新型攻擊,也加入勒索軟體及網路釣魚等舊有技術的行列。在這樣的態勢之下,需要強大力量提供協助,才能搶得先機對抗永不停止的攻擊媒介。
許多人將隱身在現代工具及平台之中的機器學習和人工智慧功能,視為網路安全的超級英雄。機器學習技術可協助搜查及分析收集到的大量資料,以推動即時威脅偵測。PcW 等業界專家預期,許多組織會透過網路安全使用案例來初次實際嘗試 AI 和機器學習技術,其中包括分散式阻斷服務 (DDOS) 模式認知、排定記錄警示優先順序以便向上呈報及進行調查,以及風險型驗證方法。根據 PcW 2018 年的全球資訊安全現況調查 (Global State of Information Security Survey),有 27% 的組織計畫投資網路安全防禦措施,其中將納入部分形式的 AI 與機器學習技術。
具有 AI 與機器學習功能的網路安全工具正掀起熱潮,原因很簡單:無論是入侵預防系統、端點安全解決方案或防毒平台,以共同聚集資料點識別及偵測攻擊媒介的成效,遠優於任何個別威脅分析師或安全專業團隊。
許多人將隱身在現代工具及平台之中的機器學習和人工智慧功能,視為網路安全的超級英雄。
賽門鐵克資深首席研究員 Yun Shen 表示:「找出攻擊者團體的攻擊和行動可說是相當困難,原因在於資料集規模相當龐大。」Yun Shen 曾經探索如何運用神經網路等新一代技術,解決持續演進發展的網路安全難題。
Shen 表示:「實際上,機器學習可說是處理資訊安全問題的最佳工具之一。如果能以負責任的方式開發這項技術,就能找出各種模式,並用於設計特定防禦策略。」
找出模式
安全態勢中的各家廠商已經發現,無論機器學習與 AI 之後產生的成果為何,都將是改變企業級安全防護的關鍵技術。目前大部分主要安全平台都納入機器學習及 AI 功能,以協助偵測異常、讓演進發展的新型威脅在執行前浮上檯面,並加快識別及驗證速度。
以賽門鐵克 Endpoint Protection 方案為例,進階機器學習及 AI 功能與 Global Intelligence Network (GIN) 互相配合運作;GIN 是賽門鐵克的威脅情報網路,由數百萬個攻擊偵測器收集遙測資料,以便在執行前偵測可能的威脅,並標記可能有問題的檔案及網站,協助安全組織在造成損害前採取行動。
卡內基美隆大學軟體工程機構 (Software Engineering Institute at Carnegie Mellon University) CERT 部門 CERT 資料科學團隊技術經理 Eliezer Kanal 表示:「攻擊已經變得相當複雜,攻擊者也更加低調狡猾,因此能造成更多損害。任何擁有 5,000 位以上員工的大型組織,每月或每日都將產生數萬或甚至數十萬的資安事端問題單。而要讓一個人找出其中兩個問題單之間互有關聯的機率卻非常低,近乎於零。機器學習就能從中找出規律。」
舉例來說,如果將預測攻擊者確切行動的能力,作為入侵預防系統的一部分,就可以採取主動措施,從一開始就阻止攻擊發生
展望未來,Kanal 表示 SEI 團隊正在研究如何應用自然語言處理技術,訓練電腦尋找特定文件中的蛛絲馬跡,在沒有人力分析協助的情況下探索網路安全漏洞。
賽門鐵克研究人員在偵測惡意活動方面也大有進展,不過目標著重於預測攻擊者執行攻擊時可能採取的特定步驟。有別於其他做出二分法結論的研究計畫,也就是預測攻擊是否將會發生,賽門鐵克名為 Tiresias 的研究成果,正以循環神經網路 (RNN) 依據先前觀察預測未來事件,持續向前邁進。Shen 表示如果將預測攻擊者確切行動的能力,作為入侵預防系統的一部分,就可以採取主動措施,從一開始就阻止攻擊發生。
不過在 AI、機器學習及任何其他進階技術提供的任何效益背後,當然也存在負面影響。以上技術雖然能夠提供更強大的防禦能力,用以偵測網路事件且有可能加以預防,但也能協助創造更惡毒的全新攻擊媒介。
因此賽門鐵克研究人員主張,像是 Tiresias 這類研究成果對網路安全的未來發展至關重要。
賽門鐵克資深首席研究工程師 Pierre-Antoine Vervier,是 Tiresias 研發團隊的成員之一,他表示:「目前網路安全比較著重於被動安全,但這項技術可以化被動為主動,成為未來的關鍵所在。」
We encourage you to share your thoughts on your favorite social platform.