機器學(xué)習(xí)技術(shù)可幫助公司發(fā)現(xiàn)可疑用戶行為、惡意軟件和欺詐性購買,但即便防御技術(shù)一直在進步,攻擊者依然能找到各種方式染指公司資源。為了對潛在威脅做出正確的響應(yīng),很多防御系統(tǒng)需要被調(diào)整,或自我調(diào)整。
每次微波加熱爆米花都會觸發(fā)的煙霧警報,要么被換成了不那么敏感的,要么被挪到了遠離廚房的地方。而“老司機”早已料到這一行為。舉個例子,如果攻擊目標裝了運動檢測報警儀,那么只需每天都很無辜地騎車經(jīng)過他們家,不出一個月,他們就會關(guān)了檢測器或者重新校準。這時,入侵機會就形成了。
如果將同樣的方法用在機器學(xué)習(xí)系統(tǒng)上,這就被稱作洪水攻擊。要記住的一件事是:網(wǎng)絡(luò)防御并非天氣預(yù)報。
為了用AI更好地跟蹤颶風(fēng),即使準確度不斷進化,物理規(guī)律也并不會突然來個180度大反轉(zhuǎn)。但在網(wǎng)絡(luò)安全這個世界,網(wǎng)線的另一端是人,他/她可是有著讓模型失效的目的的。
洪水攻擊中,攻擊者會增加信號,有時候是逐漸增加,直到能混在合法活動的掩護下安然溜入?;蛘撸肈DoS攻擊耗盡資源。為解決此類威脅,公司需要數(shù)據(jù)分析之外的技能。
隨著威脅態(tài)勢的不斷變化,即使是機器學(xué)習(xí)和AI也助益不了太多,人類的精巧思維是必需的。在這方面,僅僅具備數(shù)據(jù)科學(xué)背景是不夠的,你需要數(shù)據(jù)科學(xué)和特定領(lǐng)域?qū)I(yè)知識的交叉。
至少,目前為止,每天凌晨2點騎車經(jīng)過并朝你們家扔石頭觸發(fā)警報的人需要特別注意,或者煙霧檢測器太靠近微波爐之類的情況,還是需要人類專門的知識來理解和判定的。
用網(wǎng)絡(luò)安全術(shù)語來講,這需要理解事務(wù)運行原理,以及特定行為改變是否有意義或指向可疑行為。同樣地,領(lǐng)域?qū)I(yè)知識能幫助防御者檢測用于訓(xùn)練機器學(xué)習(xí)系統(tǒng)的數(shù)據(jù)集是否遭到操縱。
惡意軟件作者會創(chuàng)建大量合法應(yīng)用,這些合法應(yīng)用具備他們計劃投放的惡意軟件的特征。流氓雇員會調(diào)整他們的行為,以便在進行邪惡動作時不會被抓包。這就是很常見的“垃圾進,垃圾出”問題了。
安全人員需要制定策略,來分辨攻擊者是否在嘗試誘騙AI做出錯誤決策。如果確實基于壞數(shù)據(jù)做出了錯誤決策,要多久才能發(fā)現(xiàn)呢?
這種時候,人的判斷就起到了很大的作用。靈丹妙藥是不存在的。
公司企業(yè)要尤其注意避免陷入“安裝、啟動了系統(tǒng),然后置之腦后”的情況。事情總會隨時間推移而被人遺忘。
進行檢查以確保系統(tǒng)得到校準是件常規(guī)而煩人的工作,尤其是在員工忘了系統(tǒng)運行方式,公司又無力購置多個系統(tǒng)從不同方向解決問題時,一個個查過去真會要了老命。
這種時候,托管安全服務(wù)提供商就是值得考慮的選項之一了。最好是一家對這些特定系統(tǒng)有著深入了解,又有大量機會接觸壞蛋們誘騙花招的托管安全服務(wù)提供商。托管服務(wù)在這一特定領(lǐng)域中是極佳的,會比單一機構(gòu)帶來更多更廣的數(shù)據(jù)集。
雖然機器學(xué)習(xí)系統(tǒng)算是新鮮事物,用來戲耍它們的戰(zhàn)術(shù)卻是驗證過的方法。洪水和投毒——這就是攻擊者對路由器和防火墻干的事兒。
另一個老而彌堅的技術(shù),是社會工程。
無論AI有多強大,只要內(nèi)部有人能扳下開關(guān)關(guān)了系統(tǒng),進出易如反掌。因此無論布置了多強大的安全措施,用戶總是要時刻準備著彌補最弱的一環(huán)——人性的弱點永遠存在。