在公司應對網絡襲擊的數字防禦體系中,存在一個巨大漏洞。這個漏洞就是全世界都缺少熟練的技術人員,而他們在確定安全硬體運作、分析威脅以及反擊入侵者的過程中,卻發揮着至關重要的作用。安全領域的行業機構isc2研究顯示,目前全球安全行業缺少100萬訓練有素的技術人員。而且在未來5年中,這個缺口将達到180萬人。
圖:智能機器正幫助公司防禦網絡黑客
英國道德黑客技術認證機構crest的負責人伊恩·格羅夫(ian
glover)表示,技術人員緊缺現象已經得到廣泛認可,由此還引發許多其他問題。格羅夫說:“人才緊缺正推動成本上升。毫無疑問,這會産生巨大影響,因為企業都在努力獲得稀缺資源。此外,這也可能意味着企業無法找到稱職的人才,因為他們總是要不顧一切地找人填補空缺。”
格羅夫警告稱,許多國家都在采取措施,希望将人們吸引向安全行業,但是這些努力還不足以彌補技術人員短缺的問題。他說:“如果你看到攻擊工具的自動化程度在提高,那麼你也需要提高防禦工具的自動化程度。”
在資料中“溺水”
總部位于澳洲悉尼的安全公司huntsman security創始人兼首席執行官彼得·伍拉科特(peter
woollacott)表示,我們正向着更高自動化的方向邁進,但這種改變似乎有點兒姗姗來遲。很長時間以來,安全領域的革新似乎都以“手動”的緩慢方式進行。
分析師們認為,這些防禦公司正“淹沒”在資料海中。這些資料都是防火牆、pc、入侵檢測系統以及其他裝置産生的,它們會引發許多問題。安全公司vectra
networks的首席技術官奧利弗·塔瓦克利(oliver
tavakoli)稱,自動化并非新興事物,很早就曾被用于幫助防毒軟體發現新出現的惡意程式。
圖:在複雜的網絡中,人類并非總是能夠發現異常活動
但是現在,機器學習正幫助自動化走得更遠。塔拉克利說:“與人工智能相比,機器學習更容易了解、更加簡單。”但這并非意味着,它隻能處理簡單的問題。機器學習的分析能力來源于算法的進化,而這些算法可以處理大量資料,并從中挑出異常或重大趨勢。日益增強的計算能力也讓這成為可能。
這些“深度學習”算法各有不同。比如openai這類算法,對所有人開放。但是大多數算法都被開發它們的公司所有。規模較大的安全公司正争相收購規模較小、但卻更加智能化的初創企業,以便迅速增強自己的防禦能力。
不那麼聰明
英國域名注冊商nominet首席技術官西蒙·麥考拉(simon mccalla)表示,機器學習已在其研發的、名為turing的工具中證明非常有用。turing可以從該公司每天處理的大量查詢中尋找網絡攻擊證據,包括查詢有關英國網站位置的資訊。
麥考拉說,turing曾幫助分析1月份勞埃德銀行遭到網絡襲擊過程中發生了什麼,當時有數以千計的客戶無法使用該銀行服務。分布式拒絕服務(ddos)攻擊會産生大量需要處理的資料。麥考拉說:“通常情況下,我們每秒需要處理5萬個查詢。在勞埃德銀行攻擊事件中,我們需要處理的查詢每秒超過50萬個。”
圖:通過讓機器學習分析資料流量,可以阻止垃圾郵件發送者
一旦攻擊結束,塵埃落定,nominet可以在2個小時内處理好相當于1天的流量。turing吸收所有來自nominet伺服器的資訊,然後利用自己學到的東西釋出早期預警,警告人們對持續時間更長的攻擊做好準備。它會記錄發出查詢的被劫持機器ip位址,檢查其電子郵件位址是否有效。
麥考拉說:“大多數情況下,我們看到的防禦體系都不那麼聰明。”沒有機器學習的幫助,人類分析師不太可能發現攻擊,直到目标受到影響,比如銀行網站突然崩潰。分析師認為,turing現在可以幫助英國政府維持内部網絡安全,比如阻止從業人員通路可疑網站,避免成為惡意軟體受害者等。
混亂與秩序
還有利用機器學習分析能力的更雄心勃勃的計劃。在2016年的def
con黑客大會上,美國五角大樓下屬軍事研究機構darpa舉辦競賽,讓7個智能計算機程式互相攻擊,看哪個程式自我防禦能力最強。赢家是mayhem,它現在正被改造,以便能夠發現和修複代碼中的漏洞,以免被惡意黑客利用。
圖:mayhem赢得darpa舉辦的競賽,找到能夠發現漏洞的智能電腦
塔拉克利說,機器學習可以将來自不同源頭的資料關聯起來,為分析師提供全面資訊,以确定一系列連續事件是否會形成威脅。它通常可以了解公司内的資料流動及其低潮狀況,以及員工每天不同的作息時間。是以,當網絡黑客試圖偷窺網絡連接配接或進入資料庫時,這種惡意行為立即就會被發現。
當然,在龐大的網絡中,黑客也非常善于掩蓋他們的蹤迹。對于人類來說,這些“妥協式迹象”可能很難被發現。現在,網絡安全分析師隻要安心靜坐,就可以讓機器學習系統緊縮所有資料,并找出未受到人類關注的嚴重攻擊迹象。塔拉克利說:“這就像正準備進行手術的醫生,盡管病人還沒有到位,但他們已經做好準備,正處于嚴陣以待的狀态。”
作者:佚名
來源:51cto