你的下一个数字保安应该更像是机械战警
- 来源:网界网
- 2015/6/16 15:20:381124
在现在这个庞大而复杂的网络中,人类无法通过传统安全工具来检测和识别每个威胁。我们需要通过机器智能来提高人类的能力,人与机器相结合可用提高识别和阻止威胁的能力,在某些方面这类似于机械战警。
现在企业使用的安全工具并没有什么用,这是因为两个令人惊讶的原因。个是攻击者在被发现之前可自由控制系统的时间量:在Premera和P.F.Chang攻击事件中为8个月,NiemanMarcus为6个月,HomeDepot为5个月等。
第二个是响应情况。大家通常都会往后看,试图找出外部攻击者是如何入侵。虽然找出泄露事故并阻止泄露非常重要,但这种做法更像是寻找症状,而不是治疗疾病。
Premera、索尼、Target等公司花了几个月时间来检测其网络中的攻击者,并开始修复让他们成功入侵的漏洞,那么,他们怎么可以确保其他攻击者不会发现另一个漏洞呢?他们怎么知道其他攻击者现在没有在顺手窃取数据呢?他们当然不知道。
典型的响应
在过去,大多数公司仅有一种响应做法来应对不断增加的威胁,现在他们仍然在使用这种响应方法。他们重新加强系统、防火墙和IDS/IPS规则及阈值,并部署更严格的Web代理服务器和VPN政策。但这样做会让事件响应小组淹没在警报中。
更严格的政策会让已经捉襟见肘的安全团队的工作变动更加困难。这会导致每天数以千计的误报,让安全团队根本不可能调查每个警报。从近的攻击事故来看,海量的警报可以帮助恶意活动流入内部,即使它被“抓住了”,也不会有什么行动。
此外,加紧安全规则和程序只会浪费大家的时间。按照设计,更严格的政策会限制对数据的访问,并在很多情况下,员工需要这些数据来做好自己的工作。员工和部门会开始要求获取他们所需要的工具和信息,这会浪费他们宝贵的工作时间,还需要IT/安全团队来严格审查每个请求。
机械战警
现在,人类能力和可用资源明显不足以抵御所有攻击,我们需要增加机器智能来保护网络,这有点像电影《机械战警》中,让机器战警来保护街道,但在这种情况下,主要算法是统计算法。更具体而言,统计数据可以用来发现异常和潜在恶意活动。
根据SANS研究所分析师DaveShackleford表示,“安全企业面临的大挑战之一是缺乏可视性。”在其2014年分析和情报调查中,对于为什么难以检测问题,350名IT专业人士的主要回答是他们无法理解和确定“正常行为”基准。这是人们在复杂环境做不到的事情,而由于我们无法区分正常行为,我们无法看到异常行为。
而机器可以学习正常行为是什么样,并可以实时调整,在处理更多信息后,它们可以变得更加聪明。更重要的是,机器可以快速处理网络创建的海量信息量,并且它们可以接近实时做到这一点。有些网络每秒要处理TB级的数据,在另一方面,人类每秒只能处理每秒60比特。
暂且不论速度和处理能力的需要,传统监测的更大问题是规则没什么用。人类设置规则告诉机器如何行动和做什么,而与速度和处理能力无关。虽然基于规则的监测系统非常复杂,它们仍然是基于“如果是这样,那么那样做”的公式。真正可以提高安全的做法是让机器自己思考,以及提供更好的数据。
想象一下,在现实世界中,有人每天推着满是污垢的独轮车通过海关,海关人员很遵守其工作规则,每天都检查这些污垢,从来没有发现他们认为他们在找的东西。即使同一个人反复推着满是污垢的独轮车通过边界,没有人会想过看看独轮车。如果他们有这么想过,他们很快会发现他一直在偷手推车。
只是因为没人告诉海关人员寻找被盗的手推车,当然,这是事后诸葛亮。在数字世界中,我们不必依靠事后诸葛亮,因为我们现在有办法利用机器智能来发现异常情况。为了实现有效的安全保护,至少需要基本水平的智能化。如果机器可以自己学习和检测异常活动,它们会发现这个“手推车小偷”,即使你不知道你在找这个小偷。
异常检测是机器学习用于加强网络和应用程序安全性的个技术类别。这是安全分析形势,然后这种技术必须满足一些要求才可被认为是“”。它必须易于部署,可应对广泛的数据类型和来源,并对海量数据进行分析来产生可视性。
的分析师认为,机器学习将很快成为“必须具备的功能”来保护网络。在2014年Gartner名为《添加新的性能指标来管理机器学习功能的机器》报告中,分析师WillCappelli直接指出,“在未来五年内,机器学习功能将逐渐开始普及,在这个过程中,这将从根本上改变系统性能和成本特性。”
虽然机器学习并不是可以解决所有安全问题的“解决方案”,但可以肯定的是,它可以提供更好的信息来帮助人们做出更好的决策。