人工智能在這場戰(zhàn)爭中是否起作用？

在網(wǎng)絡(luò)大流行不堪重負之前，通常會在每周一次的國家級新聞廣播中報道數(shù)據(jù)泄露或勒索軟件的故事，因為盡管網(wǎng)絡(luò)安全界做出了最大的努力，但泄露新聞還是很容易找到的。 全球在網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)上的支出每年超過$ 100B， 并且正在以接近兩位數(shù)的速度增長。麻省理工學(xué)院報告說，僅勒索軟件就可能在2019年給美國造成超過$ 7B的損失，而受害組織的數(shù)據(jù)泄露的平均成本總計接近$ 4MM。

顯然，要保護全球無休止的電子信息在網(wǎng)絡(luò)上的存儲，以免受眾多從事竊取和利用它的網(wǎng)絡(luò)罪犯的攻擊，這是一個持續(xù)的挑戰(zhàn)，它將要求好人利用所有可用的技術(shù)。那么，人工智能在這場戰(zhàn)爭中是否起作用？簡短的答案是：絕對。較長的版本需要一些快速的網(wǎng)絡(luò)安全背景。

甚至廣大公眾也意識到Equifax，Sony，Target，Yahoo以及最近在2019年Facebook，Marriott和CapitalOne 等重大違規(guī)事件。最近，勒索軟件攻擊已成為信息安全頭條新聞，因為比特幣使網(wǎng)絡(luò)犯罪分子能夠不受懲罰地將成功的攻擊貨幣化。從流行的新聞報道中不太明顯的是，不良演員如何滲透這些公司。大多數(shù)漏洞是兩種常規(guī)攻擊技術(shù)之一的結(jié)果：

1.網(wǎng)絡(luò)釣魚活動或

2.利用已知的軟件漏洞。

網(wǎng)絡(luò)釣魚是一種攻擊技術(shù)，其中數(shù)千種專門設(shè)計為看起來像合法通信的電子郵件發(fā)送給目標(biāo)組織的員工。網(wǎng)絡(luò)釣魚電子郵件要么包含指向旨在誘使受害者輸入個人信息的網(wǎng)站鏈接，要么包含密碼或附件，該附件在單擊時會在其計算機上安裝惡意軟件。

另一種類型的攻擊利用了攻擊者可以用來獲取系統(tǒng)和數(shù)據(jù)訪問權(quán)限的軟件漏洞或缺陷。一些軟件漏洞可能難以利用，需要大量專業(yè)知識才能加以利用，而其他軟件漏洞則相對容易用于犯罪活動。考慮到典型企業(yè)網(wǎng)絡(luò)的復(fù)雜性以及現(xiàn)代企業(yè)使用的軟件產(chǎn)品的數(shù)量，在任何給定時間，網(wǎng)絡(luò)都可能具有數(shù)十萬甚至數(shù)百萬個漏洞。

盡管出于明顯的原因，公司沒有公開披露其網(wǎng)絡(luò)上的漏洞數(shù)量，但最近的一篇新聞報道顯示，明尼蘇達州藍十字會的網(wǎng)絡(luò)上存在超過20萬個 嚴(yán)重或嚴(yán)重漏洞。

大多數(shù)漏洞報告都避免透露攻擊的詳細信息，因此可能很難知道成功的網(wǎng)絡(luò)釣魚攻擊導(dǎo)致了多少個漏洞，以及利用漏洞利用了多少漏洞，但是Ponemon Institute最近的調(diào)查的受訪者估計“ 2019年的違規(guī)事件中有60%涉及未修補的漏洞。”

從表面上看，當(dāng)“簡單地”修補漏洞可以彌合這些安全漏洞并將其消除為攻擊源時，這似乎是由于冷漠或過失導(dǎo)致的不可接受的數(shù)字。但是經(jīng)驗豐富的IT專業(yè)人員知道，修補程序-本質(zhì)上是安裝現(xiàn)有軟件的更新版本-不僅耗時且資源密集，而且更重要的是具有風(fēng)險。

新軟件的安裝可能會破壞運行該軟件的系統(tǒng)或相鄰的系統(tǒng)，即使在最佳情況下，也必須使關(guān)鍵業(yè)務(wù)系統(tǒng)脫機，以便有時間安裝和測試補丁程序。因此，修補不是萬能的靈丹妙藥。 這就是AI來的地方。

正如我們前面提到的，典型的企業(yè)網(wǎng)絡(luò)在任何給定時間都可以有成千上萬個漏洞，因此安全和IT團隊的目標(biāo)是對這些漏洞進行優(yōu)先級排序，以便將資源密集型和風(fēng)險較大的補丁工作重點放在構(gòu)成漏洞的漏洞上。對企業(yè)的最高風(fēng)險。幾乎無法手動（尤其是大規(guī)模）對這數(shù)千個漏洞進行分類，但是可以采用多種方式來部署AI以自動執(zhí)行優(yōu)先級排序過程。

制定有用的優(yōu)先級漏洞列表的一個關(guān)鍵因素是，包含漏洞的資產(chǎn)（例如筆記本電腦，連接的設(shè)備，服務(wù)器，路由器）是否在某種程度上是唯一的。為什么？因為有經(jīng)驗的黑客會在網(wǎng)絡(luò)上搜索“異?！辟Y產(chǎn)作為進行攻擊的主要目標(biāo)。最好的黑客知道，獨特的資產(chǎn)通?？梢宰鳛檐浤繕?biāo)，并且在攻擊的早期階段對不良行為者特別有吸引力。但是，由于典型企業(yè)網(wǎng)絡(luò)中有成千上萬的資產(chǎn)，因此普通IT分析師無法準(zhǔn)確識別異常資產(chǎn)。

在這里，AI（特別是機器學(xué)習(xí)）可用于從網(wǎng)絡(luò)上的數(shù)千個過濾異常資產(chǎn)。被標(biāo)識為異常值的資產(chǎn)漏洞被認為是較高的風(fēng)險，因此也具有更高的優(yōu)先級，因為這些漏洞由于其獨特性而更有可能被吸引到這些資產(chǎn)的有經(jīng)驗的黑客利用。

此外，當(dāng)黑客識別出異常資產(chǎn)并成功利用它時，他（或她）將搜索與剛剛成功利用的資產(chǎn)相似的資產(chǎn)，所有這些都可以收集盡可能多的數(shù)據(jù)和盡可能多的憑據(jù)，同時花費最少的精力。因此，對這些可能目標(biāo)的識別是對網(wǎng)絡(luò)漏洞進行風(fēng)險排名的關(guān)鍵要素。

并非企業(yè)網(wǎng)絡(luò)上的所有資產(chǎn)都是平等創(chuàng)建的。一些服務(wù)器或機器對業(yè)務(wù)運營比其他服務(wù)器或機器更重要。它們可能包含對于企業(yè)的日常運營必不可少的特別敏感的數(shù)據(jù)或電源應(yīng)用程序。這些“關(guān)鍵業(yè)務(wù)”資產(chǎn)的漏洞通常被認為是高度優(yōu)先事項。

但是，手動確定哪些資產(chǎn)比其他資產(chǎn)更重要。典型網(wǎng)絡(luò)上的龐大資產(chǎn)充其量使這項任務(wù)充其量是困難的，而網(wǎng)絡(luò)和組織的不斷變化的性質(zhì)則使這一難題更加復(fù)雜。

在這種情況下，可以收集IT團隊的補丁程序和其他行為，并與機器學(xué)習(xí)結(jié)合使用，在一兩個星期內(nèi)準(zhǔn)確地確定組織中哪些資產(chǎn)一直受到最關(guān)注，因此最有可能被認為是業(yè)務(wù)關(guān)鍵的結(jié)論，可以有效地得出結(jié)論，而無需繁瑣的人工識別。

如何利用AI自動執(zhí)行漏洞優(yōu)先級處理的另一個示例是預(yù)測是否有可能利用新漏洞。每天都會發(fā)現(xiàn)并發(fā)布新的軟件漏洞，而如今的AI研究人員已經(jīng)開發(fā)出了一些技術(shù)，可以預(yù)測新發(fā)現(xiàn)的漏洞是否可能被不良行為者用來攻擊網(wǎng)絡(luò)。

惡意行為者從未使用過許多（實際上是大多數(shù)）漏洞來進行攻擊，因此，在有意義的優(yōu)先級分析中，了解哪些漏洞可能被使用以及哪些漏洞沒有被使用是一個因素。

這些只是AI驅(qū)動的現(xiàn)代漏洞優(yōu)先級解決方案可以有效地對企業(yè)網(wǎng)絡(luò)上成千上萬個漏洞進行優(yōu)先級排序的數(shù)十種因素的三個示例。沒有AI的能力，自動進行漏洞優(yōu)先級排序是不可能的，而徒勞的手動優(yōu)先級排序?qū)⑹俏ㄒ坏倪x擇，尤其是隨著網(wǎng)絡(luò)上資產(chǎn)數(shù)量的增加。

如果沒有人工智能，大規(guī)模地進行有意義的優(yōu)先排序根本是不可行的。隨著軟件產(chǎn)品的數(shù)量和企業(yè)對任何業(yè)務(wù)應(yīng)用程序的依賴程度的增加，漏洞的數(shù)量也將增加。減輕這種巨大的信息安全風(fēng)險的唯一方法是對所有漏洞進行連續(xù)有意義的風(fēng)險排名，并優(yōu)化修補工作以首先解決最合理的嚴(yán)重漏洞。利用現(xiàn)代AI技術(shù)是實現(xiàn)此目標(biāo)的唯一方法。