人工智能如何輔助安全自動化、分析處理和響應

人工智能(AI)含義寬泛，從聊天機器人到自動駕駛汽車的很多東西都可以用這個詞來描述。市場營銷人員很喜歡趕時髦，乘著這股東風推銷產品。

這篇文章中，我們將定義和描述AI、機器學習和深度學習，以及它們對信息安全產生的預期影響。雖然往傳統上與人類認知相關的功能中引入各類系統已經很普遍，我們不妨退后一步，仔細審視一下這些術語真實的含義。

網絡安全能力問題

公司企業處理網絡安全的方式在改進，可用3個階段來檢驗：

1. 預防——僅僅10年之前，公司企業還將主要工作集中在預防上：避免被入侵。公司企業打造壁壘，強化網絡，以便將敵人隔絕在外。

2. 檢測——鑒于攻擊規模和復雜度的上升，企業隨后實現了檢測系統，在潛在惡意威脅突破防線時予以警示。

3. 響應——預防和檢測系統都是自動化的，很快。但是，直到現在，公司企業還依賴人工來判定這些產品產生的警報，期待他們手動分辨威脅的真假或良莠。其結果，就是緩慢而重復的響應，且事件響應團隊也會被警報淹沒，沒有機會跟上不斷發展的威脅態勢。

事件響應問題加上網絡安全人才的缺口，造成了網絡安全能力問題。正如紐昂斯通訊公司CISO道格·格拉漢姆所說：

“很容易陷進這么一種怪圈：購買更多工具，得到更多警報，努力工作以關聯這些警報，但仍然發現需要的動作數量是驚人的。公司企業需要找到打破這一怪圈的方法，減少警報數量，因為永遠不可能有足夠的人手來處理每一個警報的。

跟上威脅規模及其相應警報的唯一辦法，就是通過安全自動化，而人工智能，是安全自動化技術的關鍵一環。

定義術語

非死book人工智能研究總監揚·勒丘恩在《華爾街日報》上的文章中就問道：“人工智能的下一步是什么?”

文章中寫道：

人工智能的傳統定義，是機器以類人方式執行任務和解決問題的能力。有些任務我們覺得簡單——識別照片中的物體、開車等等，但對AI而言就非常復雜。機器在某些事情上可以遠勝人類，比如下棋，但這些機器受制于它們編程上的人工屬性;一個價值30美元的小裝置就能在棋類游戲中打敗我們，但它不能，或者說學不了，其他東西。

這篇文章后面接著描述了AI、機器學習和深度學習，以及這些技術對職業、經濟和人機互動基礎的影響。雖然往傳統上與人類認知相關的功能中引入各類系統已經很普遍，我們不妨退后一步，仔細審視一下這些術語真實的含義。

人工智能是什么?

維基百科上對AI定義如下：

人工智能(AI)是機器展現的智慧。計算機科學中，理想的“智慧”機器，是能夠感知環境并采取行動以最大化任意目標成功機會的靈活理性的主體。通俗講，“人工智能”這個詞匯，可應用于機器使用尖端技術執行或模仿人類思維“認知”功能的情況，比如“學習”和“解決問題”。

理性主體的定義：

在經濟學、博弈論、決策理論和人工智能中，理性主體就是有明確偏好，通過預期變量值或變量功能對不確定性建模，并總是從所有可用行動中選擇能產生最優預期結果行動的主體。理性主體可以是任何能做出決策的東西，通常是人、公司、機器，或者軟件。

計算機系統領域的人工智能，要能解決問題，執行模仿人類認知過程的任務，包括：

理解手頭問題范圍

知道到哪兒去尋找信息源以幫助解決問題

能夠從外部攝入數據

有分析數據的能力

基于數據分析決定該采取什么行動

判定這些行動是否解決了問題

進行分析，查看上述過程中揭示的東西能不能應用到其他地方

我們不妨逐條分析一下與網絡安全自動化和分析處理有關的方面。

理解網絡威脅的范圍

旨在調查、評估、緩解網絡威脅的自動化系統，必須也能夠理解威脅的范圍和廣度。不了解問題的大小，這種系統就永遠不能完全解決問題。

我們可以從人類網絡分析師的視角審視一下常見的事件響應場景。

當一個檢測系統，比方說火眼吧，給網絡分析師發送一個已知惡意IP地址的警報時，分析師會執行以下邏輯步驟：

1. 查明網絡中哪臺機器連接了該惡意IP;

2. 檢查該終端，調查該機器上是否存在連接該IP地址的惡意軟件;

3. 采取修復措施清理該機器，確保沒留下什么東西;

4. 添加一條防火墻阻止規則，防止其他機器訪問該IP地址。

這4個步驟能夠解決眼前的問題，也可以說，分析師做了他們該做的工作。然而，使用人工智能和安全自動化的系統，需要執行額外的步驟：

1. 查詢網絡資源以探明網絡中其他已經訪問(或嘗試訪問)該IP地址的機器;

2. 在這些機器上自動觸發額外的調查以殺死進程、隔離文件、清除內存中的其他惡意東西;

3. 將每個調查的結果發回報修系統。

很多情況下，單個警報是更大問題的征兆之一，人工智能系統必須能看清全局。

知道上哪兒去找信息源以幫助解決問題

繼續用上面那個關于惡意IP地址的火眼警報做例子，我們看到人工智能系統可以查詢網絡資源以確定還有其他哪些機器也訪問了惡意IP地址。僅此一步，系統就必須執行一系列必要的復雜操作才能被認為是AI：

系統必須知道上哪兒訪問額外的網絡資源

必須知曉這些資源的用途和資源中應包含什么數據

必須擁有解析數據以查找相關可執行動作的能力

系統要能應用相關發現來將找到的東西翻譯成一系列后續動作

對人類而言，所有這些步驟都是很基礎的，因為它們符合邏輯，而且我們的大腦就是這么工作的。然而，能夠編程這個查找額外信息以解決問題的決策過程，就是非常復雜的了，堪稱人工智能的品質證明。

從外部攝入數據的能力

智謀是人類與生俱來的特質。只需要想想你每天多少次尋求外部信息源就知道了。從查詢天氣到閱讀有關人工智能的文章，我們頻繁地從外部獲取數據來幫助決策。

網絡安全世界里，獲取已知威脅的最新信息，是任何安全工具發揮功用的必備基礎能力。威脅的規模和復雜度，需要對病毒特征碼和威脅情報饋送之類事物的不斷更新，才能攔住大規模攻擊。

人工智能事件響應系統若想評估它發現的每個網絡警報，就必須能經常訪問一系列不同的威脅情報源。這樣，系統就總能以最高水準的置信度提示或無視潛在威脅。

分析數據的能力

人工智能系統對數據的分析，需要通過確定內容、上下文和意義來達成。

內容——簡單說就是：我們看的是什么?以警報為例，系統應該找哪些數據以采取下一步行動?數據例子包括IP地址和潛在威脅的地理位置。

上下文——警報類型是什么?反病毒軟件發送的?數據泄露防護系統(DLP)?安全信息和事件管理系統(SIEM)?

意義——基于內容和上下文，系統下一步該做什么?

基于數據分析決定行動方案

一旦人工智能系統執行了必需的分析，它一定要能夠基于編程的邏輯知道下一步該做什么。雖然相似的調查過程流可被應用到多個警報上，修復過程有可能大不相同。舉例如下：

網絡釣魚郵件——發送者是誰?附件是什么?有人已經點擊了附件嗎?下載并運行了可執行文件?交出了憑證?基于這些問題的回答得出的修復動作，是有條件依賴的，而且需要高級決策邏輯。

惡意IP地址——如果某個惡意IP地址被網絡中的設備訪問了，后面會發生什么?該IP地址只是終端惡意軟件感染的征兆?什么類型的惡意軟件?回連該IP地址并加密文件的勒索軟件?還有多少其他機器連接該IP地址?如果終端上的根源問題被清除了，自動添加一條防火墻阻止規則以防止其他機器訪問該IP有意義嗎?

殺毒警報——如果系統收到筆記本中木馬的警報，并提示殺毒軟件(AV)已成功清除了惡意文件，這真的是成功修復的標志?或者說，系統應執行一次全面檢查以確保木馬不僅僅是傳播惡意進程的入口，然后演變成AV發現不了的其他東西?

知道潛在威脅被確認之后該做什么，無疑是人工智能網絡安全解決方案最重要的能力。知道怎樣嚴格檢查、修復并維持此一循環，正是AI解決方案的價值所在。

確定采取的行動是否解決了問題

評估所采取的行動是否真正解決了全部問題，是檢查警報和修復工作流的關鍵最后一步。雖然一些產品和進程會在修復階段停頓，任何人工智能系統必須能夠確認修復動作是成功的，不需要額外操作。

繼續之前的AV例子，基于AI的網絡安全解決方案，會確認AV產品成功清除了感染源的文件和進程，檢查內存有沒有遺留東西，發起平行調查以確定是否存在任何橫向移動，并重新調查以確保這些步驟完全修復了整個環境中的感染痕跡。

將結果應用到其他地方

最后，一旦基于AI的網絡安全解決方案完成了從警報到修復和確認的端到端工作流，它必需能夠將其發現通用到其他地方。比如說，如果檢測系統的警報被確定是未知威脅，系統要能在沙箱中觸發可疑實體以檢查行為，基于觀察到的特征予以定罪或選擇無視。僅僅因為威脅情報饋送中沒有包含某威脅，并不意味著調查過程應終止。新威脅被發現的時候，人工智能系統可以將其新發現的知識，應用到網絡中所有其他系統上，發起調查以查找是否有其他機器表現出該威脅或該威脅類型的證據。

 

來自：http://developer.51cto.com/art/201702/532013.htm