AI增强的安全工具,为当今威胁所必需
John Toppingercole的牵头分析师John Tolbert介绍,尽管2017年在网络安全产品上花费了数十亿美元,但网络攻击将继续取得成功,这意味着需要更新工具。
“安全工具往往倾向于专注于预防,但现在我们需要采取更现实的观点,并确保我们致力于检测和反应的更多时间和工具,”他告诉柏林库平宫网络安全领导峰会的与会者。
基于Lockheed Martin的Cyber Kill Chainwere的防御主要旨在防止侦察,武器,交付和开发,所述Tolbert,只有在恶意软件安装,回调和执行阶段都需要检测和响应。
虽然这仍然是一种有效的方法,但他说,斜切的Frameworkwas更加达到约会和更现实,并且只有与初始访问和执行阶段有关的预防,而在关于八个其他阶段指定了检测和响应,则包括特权升级,凭证盗窃,横向运动和exfiltration。
“这些框架对于帮助组织计划计划他们需要工作的地方,而预防始终将重要,因此转变重点是检测和反应。我们相信人工智能[ai]和机器学习[ml]可以帮助实现这种转变,“托尔伯特说。
然而,他表示,安全工具营销团队使用的这些Thromswermers可能会令人困惑的方式。
“当安全供应商使用术语AI时,它们并不意味着在具有与人类相同的方式思考的计算机意义上的强烈AI。他们通常意味着他们的产品使用机器学习算法来解决特定问题,“Tolbert说。
“安全工具倾向于专注于预防,但现在我们需要采取更现实的观点,并确保我们专注于检测和反应”John Tolbert,KuppingerCole“有几个地方,机器学习为网络安全发挥作用,特别是在反恶意软件工具中,其中ML是必然,因为现在每天都有数百万个恶意软件变体,并且只有ML辅助恶意软件预防产品可以跟上,“他说。
ML发挥的其他领域,托尔伯特,是用防火墙,Web应用防火墙和应用程序编程接口(API)网关,其中ML可用于分析流量模式;威胁狩猎,其中ML可以增强能力以处理数千个节点的巨大数据;数据治理,用于数据对象的自动分类;授权和访问控制策略,其中ML可以帮助分析访问模式并分析法规以自动生成规则和政策;并具有安全信息和事件管理[SIEM]和用户行为分析,其中ML可用于有效的基线和异常检测。
“目前的工具无法应对未知的攻击,这是AI和ML可用于增强这些工具的地方。与此同时,我们看到有助于组织遵守可以由人类审查的政策遵守法规的工具的出现,“他说。
使用OET和ML正在提供更好的工具,可以减少在平凡的任务上花费的时间,并释放员工以更有可能的威胁和改善组织的网络安全姿势表示TOLBERT。“这可能会降低技能差距,但它不会通过更换信息安全专家来消除它,”他说,这通常被引用为切换到AI和ML增强的安全工具的原因。
虽然AI和ML工具可以提供帮助,但Tolbert表示不应忘记他们需要模型和质量数据,因此它们可以被操纵。
“虽然AI和ML可以用于良好,但它们也可以用于坏。我们已经看到攻击者对隐藏图像内的数据隐藏数据的密码破解和隐写术攻击的攻击者,“他说。
总之,Tolbert表示,必须在IT堆叠的所有层上部署所需的ML增强工具,以便在IT堆叠的所有层上部署,但警告uch工具并不完美,它们可能会被陈述,并且可能会使用AI和ML很可能会使用AI和ML创建网络武器。