人工智能(AI)正在改变包括网络安全在内的各个领域。AI驱动的系统能够实时检测威胁,从而实现快速响应和缓解。同时,AI还能通过不断学习新数据来适应和进化,提升其识别和应对新兴威胁的能力。对于网络安全团队而言,采用AI技术来领先于日益复杂的威胁已成为必修课。以下是AI在网络安全领域的六种创新应用方式。
1. 预见攻击,防患未然
预测性AI技术使防御者能够在安全事件发生前做出防御决策,甚至实现自动化响应。
预测技术开发商BforeAI的安全策略师安德烈·皮亚扎(Andre Piazza)指出:“这种技术以高准确率运行,可以显著提高安全团队的生产力,帮助他们应对海量的警报、误报以及处理这些信息所带来的沉重负担。”
预测性AI依赖于从互联网上获取的大量数据和元数据。它使用一种名为随机森林(random forest)的机器学习算法组合对数据进行分析,以做出预测。皮亚扎解释说:“该算法依赖于一个经过验证的、包含‘好’与‘坏’基础设施的数据库,即‘基准真相’(ground truth),它构成了预测的黄金标准。” 为了保持长期预测的准确性,算法会不断更新“基准真相”,以适应攻击面的动态变化(如IP或DNS记录的变更)和攻击者开发的新技术。
2. 生成对抗网络(GANs)模拟未知攻击
利用生成对抗网络(Generative Adversarial Networks, GANs)既可以创建、也可以防御那些前所未见的复杂网络攻击。
网络安全技术公司NopalCyber的首席解决方案架构师米歇尔·萨约恩(Michel Sahyoun)表示:“这项技术通过模拟大量威胁来训练网络安全系统,使其能够不断学习和适应。” GANs由两个核心部分组成:一个生成器(generator)和一个判别器(discriminator)。
生成器:模仿真实攻击者的策略,生成逼真的网络攻击场景,如新型恶意软件变体、钓鱼邮件或网络入侵模式。
判别器:评估这些场景,学习区分恶意活动与正常行为。
两者形成一个动态的反馈循环:生成器根据判别器的评估来优化其攻击模拟,而判别器则不断提高其检测日益复杂威胁的能力。这种“左右互搏”的方式能够帮助系统为尚未发生的未知威胁做好主动防御。
3. AI分析师助手
通过自动化劳动密集型的威胁分类流程,生成式AI正在提升初级安全分析师的工作价值。休斯网络系统公司(Hughes Network Systems)正在利用这项技术,将其AI定位为人类分析师的智能助手。
该公司网络安全产品负责人阿吉特·埃达坎迪说:“我们的AI引擎能主动监控安全警报,关联来自多个来源的数据,并生成上下文叙述,从而省去了大量的人工操作。” 当一个警报触发时,AI会以机器速度并行执行检查日志、交叉引用威胁情报、评估业务影响等一系列调查步骤,最终为分析师生成一份简明扼要的摘要。
这种方法将原本需要近一个小时的调查时间缩短到仅几分钟,不仅显著提高了安全运营中心(SOC)的效率,也使分析师能够处理更多的警报,专注于验证和响应威胁,而不是耗费宝贵时间收集背景信息。
4. 通过AI模型检测微小行为偏差
AI模型可以通过建立系统行为的基线,来检测人类或传统规则系统可能忽略的微小偏差。
安全公司XYPRO Technology的首席执行官史蒂夫·切尔奇安(Steve Tcherchian)解释说:“AI不再是追逐已知的‘坏’行为,而是持续学习在系统、用户、网络和进程层面上‘好’的行为是什么样的。然后,它会标记任何偏离这一规范的行为,即使这种行为以前从未出现过。”
通过持续输入实时数据、进程日志、身份验证模式和网络流量,AI模型不断地在正常行为上进行训练。一旦出现异常——例如,某个用户在非正常时间从一个新地点登录——系统就会触发一个风险信号。随着时间的推移,模型会识别出越来越多的信号,从而变得越来越智能和精确。
5. 自动化警报调查与响应
对于警报处理,最大的挑战之一是“警报疲劳”。托管检测与响应公司AirMDR的首席执行官库马尔·索拉布(Kumar Saurabh)指出,一个千人规模的公司一天内可能轻易收到200个警报,而人类分析师彻底调查一个警报至少需要20分钟,这意味着大多数警报被忽略或未能得到彻底调查。
AI分析师技术能够审查每一条警报,并决定需要收集哪些额外数据来判断其是良性还是严重威胁。AI会与企业安全体系中的其他工具进行“对话”,以获取做出决策所需的数据。如果警报是恶意的,该技术会确定需要采取何种补救措施,并立即通知安全团队。
6. 主动生成式欺骗技术
在网络安全领域,一种真正新颖的AI应用是主动生成式欺骗(Proactive Generative Deception)。
网络安全培训公司Kontra的首席执行官吉安·乔德里解释道:“我们不再仅仅是被动地检测威胁,而是训练AI去持续创建和部署高度逼真但虚假的网络段、数据和用户行为。你可以把它想象成在为攻击者建造一个不断演变的‘数字游乐屋’。”
这种方法超越了传统的蜜罐,因为它使欺骗行为更具渗透性、智能性和适应性,旨在耗尽攻击者的精力并使其感到困惑,从而阻止他们接触到真正的核心资产。这种技术不仅为防御者争取了宝贵的时间,还通过观察攻击者与欺骗环境的互动,为我们提供了关于他们战术、技术和程序(TTPs)的丰富威胁情报。然而,构建这样一个系统也需要大量的资源,包括强大的云基础设施、GPU资源以及技术精湛的专家团队。
本文转自:GoUpSec,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。
