人工智能網(wǎng)絡(luò)安全的承諾實現(xiàn)的怎樣了

多年來，網(wǎng)絡(luò)安全供應(yīng)商已經(jīng)宣布了將通過人工智能，云交付和自動化來改變整個行業(yè)的新技術(shù)。一切都會變得更好，更便宜，更快，當(dāng)然更安全。在實踐中，許多這些技術(shù)被證明是有限的，效果不如所承諾的，并且更難以使用。

改進(jìn)是漸進(jìn)的，并且在過去三年中，供應(yīng)商公告沒有太大變化。我們已經(jīng)看到技術(shù)的逐步發(fā)展以及對網(wǎng)絡(luò)安全專業(yè)人員的更好培訓(xùn)和更好的業(yè)務(wù)流程。

而流程和技術(shù)方面的改進(jìn)最終使數(shù)據(jù)中心能夠大規(guī)模進(jìn)行威脅檢測和響應(yīng)。網(wǎng)絡(luò)安全供應(yīng)商說：“有關(guān)行業(yè)安全的教育水平正在提高。而且，隨著過程越來越好，已經(jīng)出現(xiàn)了穩(wěn)健的最佳實踐?！?/p>

更智能的SIEM

那么，在看似無限的網(wǎng)絡(luò)安全技術(shù)連續(xù)性中，哪些進(jìn)展最大？

沒有比下一代安全信息和事件管理平臺或SIEM更好的地方尋求改進(jìn)了。SIEM是數(shù)據(jù)中心網(wǎng)絡(luò)安全運(yùn)營的跳動心臟。早期的SIEM范圍有限。他們沒有收集所有相關(guān)數(shù)據(jù)，這可能是由于技術(shù)壁壘，還是因為定價模型使其成本過高。對于安全事件，分析師仍將需要大量的體力勞動。

據(jù)全球公認(rèn)的頂級白帽黑客，東方聯(lián)盟創(chuàng)始人郭盛華公開透露：“硬件問題（例如內(nèi)存損壞）看起來像是惡意軟件攻擊。相反，惡意軟件攻擊會造成硬件故障，就像密碼劫持一樣，這給設(shè)備帶來了沉重的負(fù)擔(dān)。但是有關(guān)硬件的數(shù)據(jù)和有關(guān)惡意軟件感染的數(shù)據(jù)位于兩個彼此不對話的獨(dú)立系統(tǒng)中”。

當(dāng)公司部署了下一代SIEM時，情況發(fā)生了變化。最終，它能夠?qū)踩治鋈藛T所需的所有信息集中到一處，并具有所有相關(guān)的上下文，使他們能夠在最短的時間內(nèi)做出決定。

與標(biāo)準(zhǔn)工具（如防火墻和代理）的連接大約花費(fèi)了半天的時間。但是該公司還從其他來源，知名度不高的供應(yīng)商，沒有API的工具，甚至是僅具有命令行界面的開放源代碼工具中引入了信息。郭盛華說：“ 波動性是最重要的記憶取證工具之一。但是它具有命令行界面，僅輸出平面文件，絕不是任何格式的文件?！?/p>

現(xiàn)在，以前手動過程的每個部分都已簡化和自動化。該平臺還包括用戶友好的數(shù)據(jù)分析。分析人員仍然必須手動執(zhí)行一個步驟，但是Devo可以篩選數(shù)百或數(shù)千個端點，并迅速將分析人員指向他們需要關(guān)注的端點。任何人都可以建立一個數(shù)據(jù)湖并獲取所有信息。

現(xiàn)在，安全分析師不必查看多個電子表格或編寫自定義腳本來創(chuàng)建儀表板，而擁有一個GUI，可以在其中切換不同類型的信息。它使您能夠獲取大量數(shù)據(jù)，并在幾秒鐘內(nèi)就可以理解它們。這就是我們的主要價值。

傳統(tǒng)SIEM缺乏的其他領(lǐng)域是用戶行為分析和自動化，這些功能通常在單獨(dú)的平臺中找到。如今，大多數(shù)現(xiàn)代SIEM工具都具有很好的三層架構(gòu)。

Devo的下一代SIEM平臺是基于云的，但是大型云服務(wù)提供商也參與其中。Microsoft Azure，Amazon Web Services和最近的Google Cloud Platform最近都已推出了云和混合安全工具，這些工具提供了其超大規(guī)模云平臺的大規(guī)?？蓴U(kuò)展性和情報功能，并利用了他們對正在進(jìn)行的威脅的廣泛知識。

更智能的沙箱

當(dāng)陌生的應(yīng)用程序進(jìn)入公司環(huán)境時，將以三種常見方式對其進(jìn)行處理：拒絕該應(yīng)用程序，并有可能因可靠的原因而被信任的用戶啟動而損害操作的風(fēng)險；批準(zhǔn)它（如果它不引發(fā)任何防病毒標(biāo)志），并有遭受潛在攻擊的風(fēng)險；讓它在稱為“沙盒”的受控環(huán)境中運(yùn)行。

對于那些資金充裕的犯罪分子很有吸引力的大公司而言，旨在通過公司防御手段溜走的自定義惡意軟件的可能性始終是威脅。公司雇用分析人員團(tuán)隊來手動調(diào)查這些潛在的攻擊。沙盒簡化了此過程，使應(yīng)用程序在受到密切監(jiān)視的同時安全運(yùn)行。

以往世界曾爆發(fā)過很多著名的黑客大戰(zhàn)，但是目前攻擊者在發(fā)現(xiàn)沙箱方面變得越來越好，并且需要人類專業(yè)知識來分析沙箱應(yīng)用程序的行為。AI可以使沙箱對攻擊者來說更現(xiàn)實，同時還可以幫助分析應(yīng)用程序的行為。

智慧蜜罐

還有另一種檢測最確定的攻擊者的方法，它不涉及篩選大量假陰性。數(shù)據(jù)中心可以設(shè)置誘人的蜜罐，例如可能包含客戶付款信息的假數(shù)據(jù)庫。沒有合法的流量需要訪問它們，但是以某種方式進(jìn)入網(wǎng)絡(luò)的黑客將直接向他們邁進(jìn)。

至少那是他們過去所做的。最新的方法是創(chuàng)建欺騙網(wǎng)格。欺騙網(wǎng)格基本上是服務(wù)器，用戶和網(wǎng)絡(luò)的第二層虛擬層，僅對攻擊者可見，對合法用戶不可見。AI既可以用來創(chuàng)建逼真的欺騙網(wǎng)格，也可以監(jiān)視它們的攻擊。

零信任

智能還有助于使零信任成為可行的安全技術(shù)。也稱為微分段，其思想是將網(wǎng)絡(luò)劃分為微小區(qū)域，每個虛擬區(qū)域彼此隔離，只有經(jīng)過批準(zhǔn)的用戶和流量通過。

使用軟件定義邊界（零信任的核心）的安全工具還使數(shù)據(jù)中心技術(shù)人員能夠以安全的方式遠(yuǎn)程訪問關(guān)鍵數(shù)據(jù)中心管理系統(tǒng)。這一直是一個主要優(yōu)勢，但是最近幾周，當(dāng)COVID-19大流行導(dǎo)致大多數(shù)數(shù)據(jù)中心運(yùn)營商大幅削減每個站點的員工人數(shù)時，它已成為一項功能，可以挽救生命，同時幫助關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行。

滲透測試更智能

歸根結(jié)底，如果數(shù)據(jù)中心運(yùn)營商無法經(jīng)受住真實測試的考驗，或者如果他們沒有受到破壞就可以盡可能接近真實世界的測試，那么他們對任何安全策略都不會充滿信心。為此，他們通常使用滲透測試和攻擊模擬。但是這些測試既費(fèi)時又困難，并且很少有公司能夠負(fù)擔(dān)得起頻繁地進(jìn)行這些測試。

但是數(shù)據(jù)中心環(huán)境可能會快速變化。一天高度安全的數(shù)據(jù)中心第二天可能會有意外的安全漏洞。通過新的AI驅(qū)動的自動滲透測試，情報也在這里得到拯救。

網(wǎng)絡(luò)安全技術(shù)人員：“這種連續(xù)測試方法克服了傳統(tǒng)測試所帶來的障礙，例如時間和成本。攻擊模擬可以跨越更多流程和安全控制，而不會中斷日常業(yè)務(wù)運(yùn)營?！?通過連續(xù)測試，安全團(tuán)隊可以洞悉其安全模型的日常性能。