在任何辩论中,总是至少有两方。 这一推理也适用于使用人工智能技术来尝试阻止已经使用人工智能来提高成功率的网络犯罪分子的优势是否是一个好主意。
在一封电子邮件交流中,我向 Zoho Corporation 旗下 ManageEngine 的研究总监 Ramprakash Ramamoorthy 询问了他对此事的看法。 Ramamoorthy 坚定地支持利用人工智能打击网络犯罪。 他说:“打击利用人工智能增强攻击的网络犯罪分子的唯一方法是以牙还牙,并采用人工智能对抗措施。”
为什么在网络安全领域选择人工智能?
一个明显的问题是:为什么要在公司的网络安全平台中添加另一种昂贵的技术,尤其是在许多高层管理人员认为投资回报率很低的部门? Ramamoorthy 给出了以下理由:
企业安全和隐私实践已成为企业可信度的体现。 安全漏洞或松散的隐私做法可能会损害组织的声誉,甚至可能将客户赶到竞争对手那里,无论您的产品的竞争力如何。
您尽最大努力确保您在网络安全游戏中处于领先地位,这才是公平的。 将人工智能等不断发展的技术部署到您的安全实践中可以向您的客户发出强烈的信号,表明您一直非常认真地对待他们,并且您将长期参与其中。
Ramamoorthy 表示,除了保持良好的公众形象之外,他相信人工智能可以帮助组织领先于网络攻击者。 我们都知道,大流行世界已经使敏感数据的访问民主化。 机密信息不再局限于专用网络或公司设备,而是可以从任何地方的任何设备进行访问。
Ramamoorthy 说:“这为黑客提供了多个潜在的访问点来非法访问您的机密企业数据。” “攻击者使用人工智能等强大技术来利用毫无戒心的最终用户,通过破坏所述访问点来获取特权信息。”
另一个缺点是传统(非人工智能)安全方法始终基于静态阈值。 攻击者可以通过在静态阈值雷达下飞行来欺骗系统。
考虑到这一点,拉马莫西接着问道,为什么组织不使用相同的技术来反击? 在人工智能的帮助下加强安全和隐私保护的时机已经成熟。 Ramamoorthy 提供了几种现实世界的网络攻击场景以及人工智能如何协助网络犯罪分子。
示例:拥有 SIEM 解决方案的组织将其设置为在访问专有信息的登录失败次数达到每分钟 10 次时发出警报。 暴力攻击者仍然可以每分钟登录九次失败,然后不明身份地离开。
解决方案:设置弹性阈值,最少甚至无需人为干预。 此外,人工智能还可以监控登录模式,并根据多个变量(例如一天中的时间、一周中的某一天以及其他信息访问的最新趋势)设置阈值。 例如,周一早上 9 点和周六早上 3 点可能需要不同的阈值。
示例:阈值配置不当可能会导致负责监控 SIEM 系统警报的人员出现警报疲劳。
解决方案:人工智能可以通过识别频繁、罕见、未见的模式并相应地设置警报优先级来缓解警报疲劳。
示例:网络安全人员几乎不可能监控对每个潜在勒索软件和网络钓鱼网站的访问。
解决方案:人工智能可以部署在端点上,帮助识别和隔离恶意网站,从而与多因素身份验证和零信任安全等技术相结合,实现更好的数据访问实践。
人工智能能否提高云端数据的安全性?
Ramamoorthy 表示,他相信人工智能可以确保整个技术堆栈的更好安全性——从云部署到访问数据的端点。 Ramamoorthy 说:“基于规则的系统可能无法捕获整个堆栈中的安全漏洞,并且可能需要随着时间的推移编写和维护复杂的规则。” “借助人工智能,可以根据数据中的趋势和季节性模式自动设置阈值。”
他继续说道,“在云层面,人工智能可以限制对特权信息的访问,并避免分布式拒绝服务、零日漏洞等各种攻击。”
在人工智能安全解决方案中寻找什么
Ramamoorthy 表示,确保所选的 AI 解决方案涵盖整个堆栈非常重要。 此外,带有基于人工智能的 UEBA(用户和实体行为分析)工具的 SIEM 产品将有助于确保关键系统的安全。
他还指出,端点保护产品开始包含基于人工智能的功能,例如勒索软件识别和恶意软件缓解。
尽早部署人工智能能力
Ramamoorthy 表示,在网络安全中使用人工智能是避免成为数字树上最容易实现的成果的绝佳方法,因为现在采用人工智能网络安全解决方案的组织并不多。 对于网络犯罪分子来说,情况并非如此。 他们热衷于人工智能,并每天部署更多人工智能增强的网络攻击技术。
Ramamoorthy 使用他所做的例子是有原因的。 他在临别评论中解释了原因:“采用基于人工智能的 UEBA 模块作为组织 SIEM 解决方案的一部分应该是第一步,因为它是监控用户和实体以及及早识别可疑模式的有用方法。”
