早在2019年,IDC的安全万博客服端下载官网和信任团队就撰写了关于人工智能(AI)在网络安全方面的潜力的文章。当时的方法是使用人工智能创建分析平台,捕捉和复制最优秀的安全专业人员的战术、技术和程序,并使非结构化的威胁检测和修复过程民主化。使用大量结构化和非结构化数据、内容分析、信息发现和分析以及许多其他基础设施技术,人工智能支持的安全平台使用深度上下文数据处理来回答问题、提供建议和指导,并根据现有证据假设和制定答案。
当时的目标是——现在仍然是——增强组织最宝贵和最稀缺的网络安全资产——网络安全专业人员的能力或提高效率。开发方法通常从平凡的和补救的用例开始,并逐渐扩展到越来越复杂的用例。从本质上讲,机器学习使网络安全专业人员能够在大量数据中找到恶意的“针”。
今天的AI/ML用例
随着ChatGPT于2022年11月发布,我们看到人们对人工智能的所有事物和人工智能技术的应用越来越兴奋,以实现安全的结果。最大的兴趣是生成式人工智能,但安全领域的人工智能并不新鲜。机器学习是人工智能的一种形式,已经在安全领域使用了十多年,在算法保护成为主流之前,它被用来生成恶意软件签名。
机器学习的一个长期用途是用户和实体的行为分析(UEBA),以识别异常行为。这包括环境中设备的配置、应用程序、数据流、登录、访问的IP地址和网络流。例如,设备是否经常呼叫另一个设备?如果没有,则可能会生成警报,让分析人员查看异常行为。
许多供应商将UEBA作为其安全信息和事件管理(SIEM)的一部分,并在异常情况下发出警报。例如,一些SIEMs使用ML模型来检测用于DNS攻击的域生成算法(DGA)。
未来的用例
供应商设想使用人工智能来完成吃力不讨好的安全任务,并将人类从狭义的手动重复任务中拯救出来,这样他们就可以更快地转向调查机器不理解的复杂问题。人工智能无法识别未经训练的东西,所以所有新的战术和技术都需要人工输入。
生成式人工智能可以很容易地从一种语言翻译成另一种语言——口语或机器语言——其中包括将自然语言查询翻译成在其他工具中进行搜索所需的特定于供应商的语言。如今,SIEM供应商经常使用规则将警报与事件关联起来,从而在一个地方向分析师提供更多信息。
人工智能将被训练来生成警报周围的上下文,这样分析师就不必花太多时间进行调查,比如与外部服务进行检查,然后可以标记哪些域名是恶意的。人工智能将更有效地处理调查,并优先处理哪些警报。
如果得到组织的信任,人工智能可以根据分析师的常规行动提出建议或编写剧本。最终,人工智能也可能被信任来执行剧本。生成式人工智能可以使用聊天机器人推荐下一步行动,以提供有关政策或最佳实践的响应。一种用途可能是高级分析师确认初级分析师的建议操作。最终,组织将使用他们自己的安全数据和威胁模式识别功能来创建预测性威胁模型。
生成式人工智能的其他用途包括:
•根据威胁情报数据生成报告
•建议和编写SIEM的检测规则、威胁搜索和查询
•在事件解决后创建管理、审计和合规报告
•逆向工程恶意软件
•编写能够正确解析所摄取数据的连接器,以便在日志聚合系统(如SIEM)中对其进行分析
•帮助软件开发人员编写代码,搜索漏洞,并提供建议的补救措施
前进
人工智能的目标一直是提高安全分析师在保护组织免受网络对手攻击时的效率。然而,对于一些组织来说,人工智能模型和服务的成本可能太高了。只有在模型值得信赖的情况下,依靠人工智能来指导分析师和报告安全事件才会成功。
用于训练模型的数据必须准确,否则人工智能驱动的决策将无法达到预期的效果。虚构或幻觉这两个术语被用来描述一个模型什么时候是错误的,因为模型被训练成给出一些答案,而不是说我不知道什么时候没有答案。如果选择manbetx手机登录的训练集不够多样化,行业需要避免人工智能偏差。
客户和人工智能供应商应该了解每个决策背后的基础数据,这样他们就可以弄清楚培训是否出错,以及模型需要如何重新培训。而且,供应商必须保护用于训练模型的数据——例如,如果数据被破坏,模型可以被训练忽略恶意行为,而不是标记它。此外,客户必须有护栏,以确保他们将专有数据与公共模型隔离开来。
供应商还需要检查其模型的漂移。人工智能模型年代都不是可以建立和遗忘的东西。它们必须用新的信息进行调整和更新。研究人员和其他网络安全供应商可以求助于MITRE的人工智能系统对抗性威胁景观(ATLAS),以帮助更好地理解机器学习系统面临的威胁,以及类似于MITRE ATT&CK框架中的策略和技术,以解决和解决问题。
有兴趣了解更多吗?参加5月31日的网络研讨会用生成式人工智能解锁商业成功。
