人機(jī)協(xié)作實(shí)現(xiàn)網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全分析師處于這場(chǎng)戰(zhàn)斗的最前線(xiàn)，他們?cè)诎踩\(yùn)營(yíng)中心(SOC，負(fù)責(zé)保護(hù)組織免受網(wǎng)絡(luò)威脅的部門(mén))晝夜不停地工作，篩選海量數(shù)據(jù)并監(jiān)控潛在的安全事件。

他們面臨著來(lái)自不同來(lái)源的大量信息流，從網(wǎng)絡(luò)日志到威脅情報(bào)源，試圖阻止下一次攻擊。簡(jiǎn)而言之，他們不堪重負(fù)。然而，數(shù)據(jù)太多從來(lái)都不是人工智能的問(wèn)題，因此許多專(zhuān)家希望利用人工智能來(lái)加強(qiáng)網(wǎng)絡(luò)安全戰(zhàn)略并減輕分析師的壓力。

南加州大學(xué)信息科學(xué)研究所(ISI)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全部門(mén)戰(zhàn)略總監(jiān)StephenSchwab設(shè)想人類(lèi)和人工智能組成共生團(tuán)隊(duì)，共同合作提高安全性，以便人工智能能夠協(xié)助分析師并提高他們?cè)谶@些高風(fēng)險(xiǎn)環(huán)境中的整體表現(xiàn)。Schwab和他的團(tuán)隊(duì)已經(jīng)開(kāi)發(fā)了測(cè)試平臺(tái)和模型，以研究小型系統(tǒng)(例如保護(hù)社交網(wǎng)絡(luò))中的人工智能輔助網(wǎng)絡(luò)安全策略。“我們正努力確保機(jī)器學(xué)習(xí)過(guò)程可以緩解但不增加這些擔(dān)憂(yōu)，并減輕人類(lèi)分析師的工作量，”他說(shuō)。

ISI網(wǎng)絡(luò)和網(wǎng)絡(luò)安全部門(mén)副總監(jiān)DavidBalenson強(qiáng)調(diào)了自動(dòng)化在減輕網(wǎng)絡(luò)安全分析師負(fù)擔(dān)方面的關(guān)鍵作用。“SOC收到大量警報(bào)，分析師必須實(shí)時(shí)快速分析這些警報(bào)，并確定哪些是真實(shí)事件的癥狀。這就是人工智能和自動(dòng)化發(fā)揮作用的地方，它們可以發(fā)現(xiàn)可能是潛在事件的警報(bào)趨勢(shì)或模式，”Balenson說(shuō)。

尋求透明度和可解釋性

然而，將人工智能融入網(wǎng)絡(luò)安全運(yùn)營(yíng)并非沒(méi)有挑戰(zhàn)。主要問(wèn)題之一是許多人工智能驅(qū)動(dòng)的系統(tǒng)缺乏透明度和可解釋性。“機(jī)器學(xué)習(xí)(ML)可用于監(jiān)控人類(lèi)分析師疲憊不堪的網(wǎng)絡(luò)和終端系統(tǒng)，”施瓦布解釋說(shuō)。“但它們是一個(gè)黑匣子——它們可能會(huì)發(fā)出看似無(wú)法解釋的警報(bào)。

可解釋性的作用就在于此，因?yàn)槿祟?lèi)分析師必須相信ML系統(tǒng)在合理范圍內(nèi)運(yùn)行。”Schwab提出的解決方案是構(gòu)建解釋器，用分析師能夠理解的計(jì)算機(jī)化英語(yǔ)(類(lèi)似于自然語(yǔ)言)呈現(xiàn)ML系統(tǒng)的操作。ISI首席科學(xué)家MarjorieFreedman正在研究這個(gè)問(wèn)題。“我一直在研究生成解釋的含義以及你希望從解釋中得到什么。我們還在探索解釋如何幫助人們驗(yàn)證模型的生成，”她說(shuō)。

標(biāo)記的藝術(shù)

網(wǎng)絡(luò)安全領(lǐng)域人工智能決策的一個(gè)例子是在線(xiàn)身份驗(yàn)證過(guò)程。在向系統(tǒng)進(jìn)行身份驗(yàn)證時(shí)，用戶(hù)輸入密碼或PIN碼。然而，不同的人輸入數(shù)據(jù)的模式不同，即使輸入的代碼正確，人工智能也可能會(huì)標(biāo)記出來(lái)。

這些“潛在可疑”模式可能實(shí)際上不是安全漏洞，但人工智能仍會(huì)將其考慮在內(nèi)。如果在標(biāo)記它們的同時(shí)，向人類(lèi)分析師提供解釋器，將輸入模式列為標(biāo)記的原因之一，分析師將更好地理解人工智能決策背后的原因。有了這些額外的信息，分析師可以做出更明智的決策并采取適當(dāng)?shù)男袆?dòng)(即驗(yàn)證或推翻人工智能的決定)。弗里德曼認(rèn)為，網(wǎng)絡(luò)安全運(yùn)營(yíng)應(yīng)該運(yùn)行他們最好的機(jī)器學(xué)習(xí)模型來(lái)預(yù)測(cè)、識(shí)別和應(yīng)對(duì)威脅，同時(shí)采取向?qū)＜矣行Ы忉寷Q策的方法。

“如果有人要關(guān)閉一個(gè)會(huì)給公司帶來(lái)巨額損失的系統(tǒng)，那么這是一個(gè)高風(fēng)險(xiǎn)的情況，我們必須確認(rèn)這是正確的決定，”弗里德曼說(shuō)。“解釋器可能不是人工智能對(duì)其如何做到這一點(diǎn)的推導(dǎo)，但它可能是人類(lèi)分析師需要知道的，以確定它是否正確。”

確保數(shù)據(jù)安全和私密

雖然人類(lèi)分析師和機(jī)器之間的信任是人工智能在網(wǎng)絡(luò)安全方面面臨的一個(gè)挑戰(zhàn)，但相信人工智能所訓(xùn)練的敏感或?qū)Ｓ行畔⒈３炙矫苁橇硪粋€(gè)挑戰(zhàn)。”例如，為了訓(xùn)練機(jī)器學(xué)習(xí)模型以保證數(shù)據(jù)安全或保護(hù)系統(tǒng)，組織可能會(huì)使用操作細(xì)節(jié)或安全漏洞。

在將人工智能融入網(wǎng)絡(luò)安全運(yùn)營(yíng)時(shí)，這種有關(guān)組織網(wǎng)絡(luò)態(tài)勢(shì)的敏感信息的潛在暴露是一個(gè)令人擔(dān)憂(yōu)的問(wèn)題。“一旦你將信息放入大型語(yǔ)言模型等系統(tǒng)中，即使你試圖刪除它，也不能保證你能成功阻止它討論這些信息。我們需要尋找讓共享空間對(duì)所有人都安全的方法，”施瓦布說(shuō)。

施瓦布、弗里德曼和ISI團(tuán)隊(duì)希望他們的工作能夠帶來(lái)新的方法，利用人類(lèi)和人工智能的優(yōu)勢(shì)來(lái)加強(qiáng)網(wǎng)絡(luò)防御，領(lǐng)先于復(fù)雜的對(duì)手，并減輕SOC的壓力。

標(biāo)簽：