【為什麼我們要挑選這篇文章】網路攻擊次數逐年成長,現在已成為企業、政府不可忽視的日常威脅。這讓一位英國情報專員開始思考,AI 能如何有效提升網路資安,更減輕分析師的工作負擔。
耗時三年半、讓 AI 追蹤上百位頂尖網路分析師後,他終於成功了。(責任編輯:陳伯安)
在這位英國情報領域網路專家、前阿富汗情報官員的房間,你可能會覺得自己身處駭客帝國中心:黑暗的房間螢幕牆頻頻閃爍,正展示著全球範圍網路攻擊的情況。
值得被注意的是,這裡正在展示的攻擊事件由 AI 實時監測:用戶能看到網路威脅如何駭進他們的系統,進而在威脅造成損害之前阻止它們。
憑借多年的網路安全經驗,安全專家 Mike Beck 用多年時間探索了如何訓練 AI 像網路安全分析師一樣思考,並在此過程中轉變網路安全戰役的局面。
沒有人比 Mike Beck 更瞭解在高風險環境中與網路攻擊作戰的感受。如果沒有他的專業知識,2012 年倫敦最重要的活動可能會被毀掉。
打造 AI 監控系統的大神是誰?
Beck 是英國情報領域的網路安全專家,在 2012 年夏季奧運會開幕前不久加入了英國軍情五處的國土安全部門。當英國政府得知奧運會的基礎電力設施面臨嚴重威脅時,他們把目光投向了這名新僱員。在技術人員忙於確保後備基礎設施可用的同時,Beck 與一組情報人員合作消除了威脅。在開幕式當天早上,由於他的努力導致數人被捕,並幫助確保了開幕式的順利進行。
Beck 在軍情五處(MI5)工作初期就能夠迅速解決這個問題,得益於多年的經驗,得益於他在政府通信總部(Government Communications Headquarters)信號情報部門(該部門負責為英國政府收集資訊,並保護自身通信安全)工作過一段時間,以及在阿富汗擔任情報官員和指導當地特工的工作經歷。總而言之,Beck 對網路安全領域的人力和技術因素有非常全面的認知。
更重要的是,他也開始認識到傳統網路安全方法的根本缺陷,這種方法利用昨天的攻擊為明天的威脅做準備。正如 Beck 親眼目睹的那樣,隨著犯罪分子發動一場又一場前所未見的專業攻擊,越來越多的公司和政府被攻破。
2014 年,他加入了網路人工智慧公司 Darktrace,擔任其全球威脅分析主管。
這家公司由劍橋大學的數學家於 2013 年創立,他們最初是通過使用非監督式學習來發現傳統安全產品忽略的威脅,並通過實時分析行為模式和識別異常來做到這一點。
儘管 Beck 在夏季奧運會的安全工作已經十分高壓,但他覺得最近在 Darktrace 的工作是他職業生涯中遇到過的最大挑戰。
在過去幾年里,Beck 一直在幫助開發一項技術,他很快意識到,這項技術可以讓防禦者在網路安全之戰中佔據優勢:人工智慧。
培育 AI 成為首屈一指的「網路分析師」
隨著公司的發展,公司自主研發的人工智慧演算法不斷升級:憑借一款叫 Enterprise Immune System 的產品,Darktrace 成為第一個將人工智慧運用到網路安全的公司。將公司帶上另一個台階的突破是一款名為 Darktrace Antigena 的人工智慧產品,能夠自動抵御網路攻擊。眾所周知,在 2017 年「想哭」(WannaCry)勒索軟體攻擊期間,該產品保住了數千份醫療記錄。
Beck 說,最初吸引他加入 Darktrace 公司的原因之一,就是 Darktrace 在以獨特的方式應對網路攻擊。
「Darktrace 想要在駭客破解之後將他們一網打盡的想法是一個非常有趣的概念,超越了當時任何其他人所做的事情,」Beck 回憶道。
在加入 Darktrace 時,Beck 希望通過 Darktrace 的人工智慧模型來解決公司機構正面臨的另一個難題:技術人員供不應求。
隨著網路攻擊事件發生的頻次越來越高,該行業正面臨專家短缺的問題。一項研究發現,全球 74% 的機構受到該問題影響,而 30% 的機構稱,由於超負荷的工作負擔,安全專家感到精疲力竭。許多人說,他們無法有效地調查安全警報,即使調查了也經常犯錯。
當 Darktrace AI 在跟蹤公司機構所遇到過的未知異常活動時,Beck 和他的團隊意識到可以利用這項技術來更好解決當下的技能短缺危機。
這些安全專家的主要任務是調查那些早期預警信號,調查公司內部的數據,咨詢第三方,並充分利用他們的理解和直覺得出結論——這是一個重大事件嗎?需要報告給老闆嗎?
Beck 和他的團隊對接 Darktrace 公司的研發團隊,試圖將人類分析技能灌輸給人工智慧。
「這不是一項簡單的任務」,Beck 表示。「網路分析師必須是一個好奇的人,他要會詢問跟數據相關的問題,來瞭解獲得信號是否能指正攻擊者。 是個精細活兒。」
AI 分析人類行為,學習威脅偵測真實力
Beck 把 Darktrace 的網路安全專家和劍橋大學的人工智慧專家召集在一起,探討什麼是網路安全的曼哈頓計劃。
他和他的團隊能否使人工智慧不只會檢測威脅,還能模仿人類的思維過程來調查呢?如果能做到這一點,他們將再次取得突破性成就,為網路安全人員配備的重大轉變鋪平道路。在收集了數學和運算領域頂尖專家的觀點之後,Darktrace 決定投入三年半的時間來開展一個項目。
該公司對 100 名頂級分析師進行跟蹤觀察,嘗試解碼他們在調查數千名客戶的攻擊事件中的所做所想。人工智慧在分析師工作時檢測他們的的行為模式,學習分析師作出每一次點擊和選擇背後的原因,從而理解人類分析師是如何嗅出真正有威脅的網路安全事件。
整個研究最後的成果是公司本月推出的網路人工智慧分析技術。這項技術通過處理大量繁重的分析工作來加強人類分析師的業務能力,將有關攻擊的所有上下文資訊快速整合成一份易讀的報告,還可以一鍵翻譯成任何語言。
許多繁重的工作還包括過濾掉錯誤網路安全警報。正如 Beck 所解釋的那樣,「有時候分析師們會過度反應。他們每天都要應對太多事情。」
通過將這些任務自動化,網路人工智慧分析師可以將調查威脅的平均時間縮減 92%。當 Darktrace 的人工智慧發現異常情況時,比如一個雲端服務器的異常配置模式,網路人工智慧分析師可以處理來自各種來源的大量數據,包括雲端、物聯網、本地應用程式和虛擬網路——所有這些都是以企業級規模和自動化速度處理的。
隨後 AI 確定這種異常是否應該進行分類或報告給人類分析師,這樣分析師就可以用自己的洞察力來制定戰略性決策。
Beck 表示:「有些事情是人類擅長的,比如理解企業的背景及其運作方式」。「人類應該處理更複雜的任務。」
Beck 說,網路人工智慧分析師經常將單一攻擊的許多指標整合起來,這些指標是人腦難以拼湊起來的。「人工智慧的這一突破將人類的專業知識與人工智慧的一致性、速度和可擴展性結合起來,為人類團隊贏回時間,把人類從繁瑣的重複性工作中解脫出來讓他們更有成就感。」
5G 浪潮來襲,資安威脅還很多
對於 Beck 來說,網路人工智慧分析師技術的上線是他個人的一項重大成就,也是他所在領域的一個重要里程碑。但他並沒有停下,已經開始展望未來,預測未來網路安全領域會出現的新挑戰ーー對於未來,他既興奮又恐懼。
「我不確定自己是否很期待未來,」他笑道,「但是當你想到 5G 和雲端運算,想到我們的汽車越來越多地連接在一起,還有我們的房子和可穿戴設備ーー我們該如何在數據大量聯通共享的情況下確保網路安全呢?」
另一個主要挑戰是人工智慧的成熟度。用人工智慧模仿網路安全分析師並不是網路安全的終極目標;這只是個開始。Beck 說,雖然網路人工智慧分析代表了當今行業的一個重大飛躍,但攻擊者可以像防禦者一樣輕易地使用人工智慧。
「人工智慧絕對會幫助網路犯罪分子進行攻擊,」他說ーー但是,請放心,「我們正在為此制定防守方案。」
(本文經合作夥伴 大數據文摘 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為〈剑桥数学家们花费三年半,跟踪100名顶级安全分析师,开发了一支AI网络安全护卫队〉。)
延伸閱讀
駭客攻擊新手法:用木馬程式破解 HTTPS 加密,透過 Chrome 監視你的上網資料
