在公司应对网络袭击的数字防御体系中,存在一个巨大漏洞。这个漏洞就是全世界都缺少熟练的技术人员,而他们在确保安全硬件运行、分析威胁以及反击入侵者的过程中,却发挥着至关重要的作用。安全领域的行业机构ISC2研究显示,目前全球安全行业缺少100万训练有素的技术人员。而且在未来5年中,这个缺口将达到180万人。
图:智能机器正帮助公司防御网络黑客
英国道德黑客技术认证机构Crest的负责人伊恩·格罗夫(Ian Glover)表示,技术人员紧缺现象已经得到广泛认可,由此还引发许多其他问题。格罗夫说:“人才紧缺正推动成本上升。毫无疑问,这会产生巨大影响,因为企业都在努力获得稀缺资源。此外,这也可能意味着企业无法找到称职的人才,因为他们总是要不顾一切地找人填补空缺。”
格罗夫警告称,许多国家都在采取措施,希望将人们吸引向安全行业,但是这些努力还不足以弥补技术人员短缺的问题。他说:“如果你看到攻击工具的自动化程度在提高,那么你也需要提高防御工具的自动化程度。”
在数据中“溺水”
总部位于澳大利亚悉尼的安全公司Huntsman Security创始人兼首席执行官彼得·伍拉科特(Peter Woollacott)表示,我们正向着更高自动化的方向迈进,但这种改变似乎有点儿姗姗来迟。很长时间以来,安全领域的革新似乎都以“手动”的缓慢方式进行。
分析师们认为,这些防御公司正“淹没”在数据海中。这些数据都是防火墙、PC、入侵检测系统以及其他设备产生的,它们会引发许多问题。安全公司Vectra Networks的首席技术官奥利弗·塔瓦克利(Oliver Tavakoli)称,自动化并非新兴事物,很早就曾被用于帮助杀毒软件发现新出现的恶意程序。
图:在复杂的网络中,人类并非总是能够发现异常活动
但是现在,机器学习正帮助自动化走得更远。塔拉克利说:“与人工智能相比,机器学习更容易理解、更加简单。”但这并非意味着,它只能处理简单的问题。机器学习的分析能力来源于算法的进化,而这些算法可以处理大量数据,并从中挑出异常或重大趋势。日益增强的计算能力也让这成为可能。
这些“深度学习”算法各有不同。比如OpenAI这类算法,对所有人开放。但是大多数算法都被开发它们的公司所有。规模较大的安全公司正争相收购规模较小、但却更加智能化的初创企业,以便迅速增强自己的防御能力。
不那么聪明
英国域名注册商Nominet首席技术官西蒙·麦考拉(Simon McCalla)表示,机器学习已在其研发的、名为Turing的工具中证明非常有用。Turing可以从该公司每天处理的大量查询中寻找网络攻击证据,包括查询有关英国网站位置的信息。
麦考拉说,Turing曾帮助分析1月份劳埃德银行遭到网络袭击过程中发生了什么,当时有数以千计的客户无法使用该银行服务。分布式拒绝服务(DDoS)攻击会产生大量需要处理的数据。麦考拉说:“通常情况下,我们每秒需要处理5万个查询。在劳埃德银行攻击事件中,我们需要处理的查询每秒超过50万个。”
图:通过让机器学习分析数据流量,可以阻止垃圾邮件发送者
一旦攻击结束,尘埃落定,Nominet可以在2个小时内处理好相当于1天的流量。Turing吸收所有来自Nominet服务器的信息,然后利用自己学到的东西发布早期预警,警告人们对持续时间更长的攻击做好准备。它会记录发出查询的被劫持机器IP地址,检查其电子邮件地址是否有效。
麦考拉说:“大多数情况下,我们看到的防御体系都不那么聪明。”没有机器学习的帮助,人类分析师不太可能发现攻击,直到目标受到影响,比如银行网站突然崩溃。分析师认为,Turing现在可以帮助英国政府维持内部网络安全,比如阻止工作人员访问可疑网站,避免成为恶意软件受害者等。
混乱与秩序
还有利用机器学习分析能力的更雄心勃勃的计划。在2016年的Def Con黑客大会上,美国五角大楼下属军事研究机构Darpa举办竞赛,让7个智能计算机程序互相攻击,看哪个程序自我防御能力最强。赢家是Mayhem,它现在正被改造,以便能够发现和修复代码中的漏洞,以免被恶意黑客利用。
图:Mayhem赢得Darpa举办的竞赛,找到能够发现漏洞的智能电脑
塔拉克利说,机器学习可以将来自不同源头的数据关联起来,为分析师提供全面信息,以确定一系列连续事件是否会形成威胁。它通常可以了解公司内的数据流动及其低潮状况,以及员工每天不同的作息时间。因此,当网络黑客试图偷窥网络连接或进入数据库时,这种恶意行为立即就会被发现。
当然,在庞大的网络中,黑客也非常善于掩盖他们的踪迹。对于人类来说,这些“妥协式迹象”可能很难被发现。现在,网络安全分析师只要安心静坐,就可以让机器学习系统紧缩所有数据,并找出未受到人类关注的严重攻击迹象。塔拉克利说:“这就像正准备进行手术的医生,尽管病人还没有到位,但他们已经做好准备,正处于严阵以待的状态。”
作者:佚名
来源:51CTO