机器学习给打击网络攻击带来新希望
E安全8月19日文 过去几年,大量成功的数据泄露事件让人不安,很明显,组织机构被越来越多的威胁所困扰。
但是,新型安全解决方案如雨后春笋般涌现,将机器学习应用到企业安全。这些工具提供能力分析网络、了解网络、发现异常情况并保护企业免受威胁。
那么机器学习是解决当今网络安全挑战的钥匙吗?行业分析师和提供这些产品的企业表示,需求旺盛,初期的用户反馈较好。
分析机构451 Research的高级安全分析师Eric Ogren表示,“机器学习是2016年的主要安全趋势。每个安全官现在知道行为分析产品提供绝佳机会抓获逃避静态预防性防御的攻击。”
Ogren补充道,“机器学习是行为方式的心脏。什么也比不上观察、听和学习。机器学习观察定义用户、设备和网站正常活动统计图的行为。这一点很重要,因为它为行为分析提供基础,以防止逃过反威胁防御或滥用授权活动的攻击带来重大破坏。”
机器学习的长期好处是让组织机构朝着概率和预防性安全方法的方向走,该方法与普遍接受的IT实践完美结合。Ogren表示,“我们在大型云和传媒企业中看到这种好处正发挥作用,这些企业的对好坏的测量低于1和0,并更多地减少主要业务中断的风险,并控制到底线。”
潜在挑战
正如任何新型技术,机器学习存在潜在困难。Ogren表示,“跨不同厂商的机器学习算法的质量区分对它而言具有挑战。质量将在结果中体现出来。我们建议概念认证项目关注一些分散的用户、设备和网站用例来证明产品的效用。”
企业管理协会公司(Enterprise Management Associates Inc.)的安全与风险管理部的研究主管David Monahan指出,虽然机器学习会推动安全行业的巨大进步,但这不是终极结果。它存在局限性和最佳用途。机器学习作为最佳工具识别安全行业不寻常事件以进行评估或调查。
安全行业有两种主要的机器学习类型:监督与非监督型。Monahan表示,“它们针对不同的东西,但最终他们会在提供的数据集中找到异常。因此,机器学习是一种添加技术,而不是基础技术。
主要优势
Monahan表示,该技术的主要优点就是具备能力在大量多样化数据集中检测趋势、模式和异常现象。
BluVector总裁兼首席执行官 Kris Lovejoy表示,“如果不全部是大数据工具,机器学习相比较而言,快得多,因为它可以实时或接近实时运作—数秒至几分钟—而不需要等待批量处理数据集。机器学习的必要性受两大事实驱动”
其中一个事实就是,它需要很长的时间检测攻击,而另一事实是在许多即使不是大多数情况下,数据被泄的第三方会通知企业。
Lovejoy表示,“企业需要在风险造成损害之前直面、发现并根除风险的能力。”
机器学习的安全工具提供商Prelert的产品副总监Mike Paquette表示,“企业已经意识到,他们无法预见每个可能的攻击媒介,他们也无力手动创建规则发现他们已预见的媒介。”
Paquette表示,“他们正在寻找方式自动分析安全有关的日志数据,这种方式下,能持续发现这些基本攻击行为。”
机器学习的可用安全工具如下:
Acuity Solutions提供BluVector,一个恶意软件检测和网络狩猎产品,将机器学习作为识别并优先处理潜在威胁的机制。由于这些威胁被识别,为负责调查分类威胁的“狩猎者”和响应者创建取证数据包。
Dataguise提供的DgSecure Monitor是一个数据泄露检测产品—每当用户行为偏离典型的行为时,使用机器学习和行为分析生成警报。无论敏感信息是否受保护,DgSecure Monitor易于使用该能力结合用户定义的政策创建数据安全管理政策。
Deep Instinct提供的产品名为“深度学习”(Deep Learning)—受人脑学习识别物体的能力启发,并将识别转化为第二自然。通过将深度学习应用到网络安全,Deep Instinct使用此过程有两个阶段:学习与预测。其结果是本能的网络保护免受最易逃避的网络攻击。
Distil Networks提供技术保护Web应用程序免受恶意僵尸程序、API滥用和欺诈。每个Distil客户受益于全球机器学习基础设施,实施分析攻击模式。比如,Distil基于关联超过100个动态分类和针对某个网站的独特流量模式之精确位置行为主动预测。
Prelert提供三种先进的威胁检测产品,使用安全机器学习技术。所有这三大产品围绕Prelert的行为分析引擎创建,该引擎使用无监督机器学习技术创建企业日志数据中正常活动的基准线,并识别网络攻击活动相关数据中异常或不寻常的模式。
银行已在使用
采用机器学习技术的企业报告称已取得初步成功。社区银行服务提供商
Orrstown 银行开始使用机器学习技术解决信用卡和借记卡欺诈的急剧增长行为。
Orrstown银行的高级副总裁兼首席信息安全官表示,“银行卡欺诈由于一些原因呈上升趋势,但主要是因为大型和小型商户的银行卡数据泄露数量攀升。欺诈检测解决方案提供唯一的基本检测能力或对普通社区银行而言太贵。”
Orrstown与Prelert合作使用机器学习技术解决银行卡欺诈问题。虽然最初设计用于检测技术资产间的异常。Orrstown发现Prelert的产品还能检测人类行为中的异常,包括卡的使用行为。
Linn表示,“诈骗犯使用偷来的卡时常遵循购买模式。比如,他们刚开始通常会购买廉价产品以验证该卡是否有效。如果交易测试通过,他们会迅速进行更高金额的消费。”
Prelert基于机器学习的欺诈评分引擎帮助该银行检测第一笔欺诈交易,因此它可以组织后续更高金额的欺诈交易。
该技术通过多纬度检测卡使用的异常情况—时间、金额、地址、商户类型—结合Orrstown提供的已知欺诈交易模式有关的专家知识。
Linn表示,“虽然我们只是最近开始运作该解决方案,早期结果表明我们可以减少高达50%的欺诈损失。”
门票销售企业在使用
另一机器学习的用户—门票转售提供商StubHub已经开始集成使用Distil技术约18个月。StubHub技术运营高级总监Marty Boos表示,“随着新的安全威胁的浮现,Distil成为StubHub较大安全战略的重要组成部分,尤其是打击账户接管”。
Boos表示,Distil的机器学习能力从StubHub内检测的流量模式学习,因此它可以开始预测僵尸程序和其它安全问题将如何演变。
StubHub和Distil能日常协作识别目前的情况,以及StubHub预期将在未来发生的情况。Boos表示,“由于僵尸程序和其它类型的恶意流量迅速发展,网络和平台必须勤于领先新战术。”
Boos表示,“在StubHub,购买往往构成数字商品的即使转移,因为我们保护僵尸程序和其它威胁攻击我们的网络至关重要。”
“这是商业风险。Distil帮助我们在如何处理当前的问题上更加明智,并未将来的威胁方式做好充分准备。”
Human Longevity Inc. 提供技术创建世界最大和最全面全基因组、表型和临床资料数据库。该公司于2015年9月开始使用Darktrace的企业免疫系统,以表现业务和企业平台上它认为的正常网络活动。
IT安全负责人Tom Brandl表示,“目标是确定我们网络的任何异常活动,并由我们的团队专注分析这类异常活动,以确定它们的威胁等级。”
Brandl 表示, “Darktrace的机器学习技术学习我们环境的生活模式—理解网络的正常活动,因此它可以识别任何异常活动。这允许我们的程序员和专家各尽其能:检查企业免疫系统识别的异常活动,并确定威胁等级,以及将要采取的行动。”
该技术的最大好处是:它为该公司提供更好的可视性并理解环境中发生的事。市场的其它企业表示,今后将打来新功能,努力加强信息安全。
Deep Instinct的首席执行官Guy Caspi表示,“创建人脑的人工版本没有理论限制。深度学习让我们以快速的步伐更接近该目标。我们预计今后几年会有许多激动人心的突破,尤其是在无监督学习方面。”
Caspi表示,“虽然深度学习已成功应用到计算机视觉、语音和文本理解。也有许多其它深度学习能潜在彻底改革的挑战领域。”
Dataguise的首席信息官Venkat Subramanian表示,随着机器学习成为人工智能和数据科学的重心,它将继续推动发展和学习算法的创新。
Subramanian表示,“这项技术被数据集中分析的所有行业采用,大数据的采用将成为趋势,将加速分析整合。”
“这将继续跨越计算的各个领域,并会在检测和防御企业安全和未或许访问敏感信息违规方面尤其有用。”
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。