在网络大流行被淹没之前,数据泄露或勒索软件的故事通常会在每周的全国新闻联播中报道,因为尽管网络安全社区尽了最大努力,泄露的消息仍然很容易被发现。全球每年在网络安全产品和服务上的支出超过1000亿美元,并且正以接近两位数的速度增长。麻省理工学院报告称,2019年仅ransomware一项就可能给美国造成超过70亿美元的损失,受害组织的平均数据泄露成本总计接近400万美元。
显然,保护世界上无休止地存储在网络上的电子信息,使其不被许多从事窃取和使用的网络犯罪分子攻击,是一个持续的挑战。这将需要优秀的人使用所有可用的技术。那么,人工智能在这场战争中发挥了作用吗?简短的回答是:绝对的。较长版本的需要一些快速的网络安全背景。
即使是普通公众也知道一些重大违规行为,如Equifax、索尼、Target、雅虎,以及最近的2019年脸书、万豪和CapitalOne。最近,勒索软件攻击已经成为信息安全的头条新闻,因为比特币使网络犯罪分子能够将成功的攻击货币化而不受惩罚。从流行的新闻报道中不明显的是,坏演员是如何渗透到这些公司的。大多数漏洞是由两种传统攻击技术之一造成的:
1.网络钓鱼活动或
2.利用已知的软件漏洞。
网络钓鱼是一种攻击技术,在这种技术中,数千封专门设计为看起来像合法通信的电子邮件被发送给目标组织的员工。网络钓鱼电子邮件或者包含指向旨在诱使受害者输入个人信息的网站的链接,或者包含密码或附件,当单击时,会在受害者的计算机上安装恶意软件。
另一种类型的攻击利用软件漏洞或缺陷,攻击者可以利用这些漏洞或缺陷来访问系统和数据。有些软件漏洞可能很难利用,需要大量专业知识才能利用,而其他软件漏洞在犯罪活动中相对容易使用。考虑到典型企业网络的复杂性和现代企业使用的软件产品数量,网络在任何给定时间都可能存在数十万甚至数百万个漏洞。
尽管出于明显的原因,该公司没有公开披露其网络上的漏洞数量,但最近的一份新闻报告显示,明尼苏达州蓝十字网络上有20多万个严重或严重的漏洞。
大多数漏洞报告都避免透露攻击的细节,因此可能很难知道有多少漏洞是由成功的网络钓鱼攻击造成的,以及有多少漏洞被利用。然而,Ponemon研究所最近调查的受访者估计,“2019年60%的违规涉及未修补的漏洞。”
表面上看,当“简单地”修复漏洞就能关闭这些安全漏洞并将其作为攻击源消除时,似乎这是一个冷漠或疏忽造成的不可接受的数字。但是,经验丰富的IT专业人员知道,打补丁(本质上是安装现有软件的更新版本)不仅耗时耗资源,而且更重要的是风险很大。
安装新软件可能会损坏运行该软件的系统或相邻系统。即使在最好的情况下,也有必要让关键业务系统离线,以便有时间安装和测试补丁。所以,缝补不是万能的。这就是AI的来源。
正如我们前面提到的,一个典型的企业网络在任何给定的时间都可能有数千个漏洞,因此安全和信息技术团队的目标是优先考虑这些漏洞,以便将资源密集型和高风险的修补工作集中在构成漏洞的漏洞上。企业面临的最高风险。手动对这几千个漏洞进行分类几乎是不可能的(尤其是在大规模的情况下),但是有很多方法可以部署AI来自动执行优先级排序过程。
制作有用的优先漏洞列表的一个关键因素是包含漏洞的资产(如笔记本电脑、连接设备、服务器、路由器)是否在某种程度上是唯一的。为什么呢?因为有经验的黑客会将搜索网络上的“异常”资产作为攻击的主要目标。最优秀的黑客都知道,独特的资产通常可以被用作软目标,在攻击的早期阶段,它们对不良行为者特别有吸引力。然而,由于典型的企业网络中有成千上万的资产,普通的IT分析师无法准确识别异常资产。
在这里,AI(尤其是机器学习)可以用来过滤网络上成千上万的异常资产。被识别为异常值的资产漏洞被视为更高的风险,因此具有更高的优先级,因为这些漏洞更有可能被有经验的黑客利用,这些黑客由于其独特性而吸引这些资产。
此外,当黑客识别出差异时
常资产并成功利用它时,他(或她)将搜索与刚刚成功利用的资产相似的资产,所有这些都可以收集尽可能多的数据和尽可能多的凭据,同时花费最少的精力。因此,对这些可能目标的识别是对网络漏洞进行风险排名的关键要素。并非企业网络上的所有资产都是平等创建的。一些服务器或机器对业务运营比其他服务器或机器更重要。它们可能包含对于企业的日常运营必不可少的特别敏感的数据或电源应用程序。这些“关键业务”资产的漏洞通常被认为是高度优先事项。
但是,手动确定哪些资产比其他资产更重要。典型网络上的庞大资产充其量使这项任务充其量是困难的,而网络和组织的不断变化的性质则使这一难题更加复杂。
在这种情况下,可以收集IT团队的补丁程序和其他行为,并与机器学习结合使用,在一两个星期内准确地确定组织中哪些资产一直受到最关注,因此最有可能被认为是业务关键的结论,可以有效地得出结论,而无需繁琐的人工识别。
如何利用AI自动执行漏洞优先级处理的另一个示例是预测是否有可能利用新漏洞。每天都会发现并发布新的软件漏洞,而如今的AI研究人员已经开发出了一些技术,可以预测新发现的漏洞是否可能被不良行为者用来攻击网络。
恶意行为者从未使用过许多(实际上是大多数)漏洞来进行攻击,因此,在有意义的优先级分析中,了解哪些漏洞可能被使用以及哪些漏洞没有被使用是一个因素。
这些只是AI驱动的现代漏洞优先级解决方案可以有效地对企业网络上成千上万个漏洞进行优先级排序的数十种因素的三个示例。没有AI的能力,自动进行漏洞优先级排序是不可能的,而徒劳的手动优先级排序将是唯一的选择,尤其是随着网络上资产数量的增加。
如果没有人工智能,大规模地进行有意义的优先排序根本是不可行的。随着软件产品的数量和企业对任何业务应用程序的依赖程度的增加,漏洞的数量也将增加。减轻这种巨大的信息安全风险的唯一方法是对所有漏洞进行连续有意义的风险排名,并优化修补工作以首先解决最合理的严重漏洞。利用现代AI技术是实现此目标的唯一方法。
