多年來,網路安全**商已經宣布了將通過人工智慧,雲交付和自動化來改變整個行業的新技術。一切都會變得更好,更便宜,更快,當然更安全。在實踐中,許多這些技術被證明是有限的,效果不如所承諾的,並且更難以使用。
改進是漸進的,並且在過去三年中,**商公告沒有太大變化。我們已經看到技術的逐步發展以及對網路安全專業人員的更好培訓和更好的業務流程。
而流程和技術方面的改進最終使資料中心能夠大規模進行威脅檢測和響應。網路安全**商說:「有關行業安全的教育水平正在提高。而且,隨著過程越來越好,已經出現了穩健的最佳實踐。」
更智慧型的siem
那麼,在看似無限的網路安全技術連續性中,哪些進展最大?
沒有比下一代安全資訊和事件管理平台或siem更好的地方尋求改進了。siem是資料中心網路安全運營的跳動心臟。早期的siem範圍有限。他們沒有收集所有相關資料,這可能是由於技術壁壘,還是因為定價模型使其成本過高。對於安全事件,分析師仍將需要大量的體力勞動。
據全球公認的頂級白帽黑客,東方聯盟創始人郭盛華公開透露:「硬體問題(例如記憶體損壞)看起來像是惡意軟體攻擊。相反,惡意軟體攻擊會造成硬體故障,就像密碼劫持一樣,這給裝置帶來了沉重的負擔。但是有關硬體的資料和有關惡意軟體感染的資料位於兩個彼此不對話的獨立系統中」。
與標準工具(如防火牆和**)的連線大約花費了半天的時間。但是該公司還從其他**,知名度不高的**商,沒有api的工具,甚至是僅具有命令列介面的開放源**工具中引入了資訊。郭盛華說:「 波動性是最重要的記憶取證工具之一。但是它具有命令列介面,僅輸出平面檔案,絕不是任何格式的檔案。」
現在,以前手動過程的每個部分都已簡化和自動化。該平台還包括使用者友好的資料分析。分析人員仍然必須手動執行乙個步驟,但是devo可以篩選數百或數千個端點,並迅速將分析人員指向他們需要關注的端點。任何人都可以建立乙個資料湖並獲取所有資訊。
現在,安全分析師不必檢視多個電子**或編寫自定義指令碼來建立儀表板,而擁有乙個gui,可以在其中切換不同型別的資訊。它使您能夠獲取大量資料,並在幾秒鐘內就可以理解它們。這就是我們的主要價值。
傳統siem缺乏的其他領域是使用者行為分析和自動化,這些功能通常在單獨的平台中找到。如今,大多數現代siem工具都具有很好的三層架構。
devo的下一代siem平台是基於雲的,但是大型雲服務提供商也參與其中。microsoft azure,amazon web services和最近的google cloud platform最近都已推出了雲和混合安全工具,這些工具提供了其超大規模雲平台的大規模可擴充套件性和情報功能,並利用了他們對正在進行的威脅的廣泛知識。
更智慧型的沙箱
當陌生的應用程式進入公司環境時,將以三種常見方式對其進行處理:拒絕該應用程式,並有可能因可靠的原因而被信任的使用者啟動而損害操作的風險;批准它(如果它不引發任何防病毒標誌),並有遭受潛在攻擊的風險;讓它在稱為「沙盒」的受控環境中執行。
對於那些資金充裕的犯罪分子很有吸引力的大公司而言,旨在通過公司防禦手段溜走的自定義惡意軟體的可能性始終是威脅。公司雇用分析人員團隊來手動調查這些潛在的攻擊。沙盒簡化了此過程,使應用程式在受到密切監視的同時安全執行。
以往世界曾爆發過很多著名的黑客大戰,但是目前攻擊者在發現沙箱方面變得越來越好,並且需要人類專業知識來分析沙箱應用程式的行為。ai可以使沙箱對攻擊者來說更現實,同時還可以幫助分析應用程式的行為。
智慧型蜜罐
還有另一種檢測最確定的攻擊者的方法,它不涉及篩選大量假陰性。資料中心可以設定誘人的蜜罐,例如可能包含客戶付款資訊的假資料庫。沒有合法的流量需要訪問它們,但是以某種方式進入網路的黑客將直接向他們邁進。
至少那是他們過去所做的。最新的方法是建立欺騙網格。欺騙網格基本上是伺服器,使用者和網路的第二層虛擬層,僅對攻擊者可見,對合法使用者不可見。ai既可以用來建立逼真的欺騙網格,也可以監視它們的攻擊。
零信任智慧型還有助於使零信任成為可行的安全技術。也稱為微分段,其思想是將網路劃分為微小區域,每個虛擬區域彼此隔離,只有經過批准的使用者和流量通過。
使用軟體定義邊界(零信任的核心)的安全工具還使資料中心技術人員能夠以安全的方式遠端訪問關鍵資料中心管理系統。這一直是乙個主要優勢,但是最近幾周,當covid-19大流行導致大多數資料中心運營商大幅削減每個站點的員工人數時,它已成為一項功能,可以挽救生命,同時幫助關鍵基礎設施執行。
滲透測試更智慧型
歸根結底,如果資料中心運營商無法經受住真實測試的考驗,或者如果他們沒有受到破壞就可以盡可能接近真實世界的測試,那麼他們對任何安全策略都不會充滿信心。為此,他們通常使用滲透測試和攻擊模擬。但是這些測試既費時又困難,並且很少有公司能夠負擔得起頻繁地進行這些測試。
但是資料中心環境可能會快速變化。一天高度安全的資料中心第二天可能會有意外的安全漏洞。通過新的ai驅動的自動滲透測試,情報也在這裡得到拯救。
網路安全技術人員:「這種連續測試方法克服了傳統測試所帶來的障礙,例如時間和成本。攻擊模擬可以跨越更多流程和安全控制,而不會中斷日常業務運營。」 通過連續測試,安全團隊可以洞悉其安全模型的日常效能。(歡迎**分享)
DAPRA 挑戰賽中捍衛網路安全的人工智慧選手
人工智慧學家 計算機軟體 零日 漏洞平均每年會有312天在人類網路安全專家發現和修補漏洞之前,遭到惡意黑客的利用。美 方重點關注顛覆性技術的主要研究機構希望解答的問題是,人工智慧是否能在幾秒或幾分鐘內,比人類更快地發現和修補這些漏洞。今夏,美國dapr的網路挑戰賽 cyber grandchalle...
在網路安全中應用人工智慧的五大障礙
國外網路安全公司cylance發布報告稱,人工智慧 ai 應用落地的兩個最主要障礙是人工智慧本身發展不成熟以及應用企業對技術儲備的缺乏。人工智慧可以有效地幫助網路安全專業人員應對更複雜更危險的威脅,但根據sans研究所進行的一項調查,ai在被廣泛採用之前面臨著幾個關鍵障礙。在2018年末對261名網...
高階人工智慧的實現方法
人工智慧的定義可以分為兩部分,即 人工 和 智慧型 人工 比較好理解,爭議性也不大。有時我們會要考慮什麼是人力所能及製造的,或者人自身的智慧型程度有沒有高到可以創造人工智慧的地步,等等。但總的來說,人工系統 就是通常意義下的人工系統。關於什麼是 智慧型 就問題多多了。這涉及到其它諸如意識 consc...