任何技术都有局限性,AI和人工智能也不例外。其局限有三:检测、功耗和人力。
思科一份最近的调查显示,39%的CISO称其公司依赖自动化推动网络安全工作,另有34%称依赖机器学习,32%报告称高度依赖人工智能(AI)。CISO如此看好AI令人颇为意外,毕竟,除了识别恶意行为,AI在网络安全方面的应用场景似乎也不是很多。
老实说,AI绝对有益于网络安全。随着恶意软件像流感病毒一样不断自我变异,不使用AI几乎不可能发展出恰当的响应策略。银行或信用卡提供商之类的金融机构也可以通过适当训练的AI大幅强化其SIEM系统,提升欺诈检测和预防能力。但AI并非万灵丹,炒作得再多也不是。事实上,与其他任何技术一样,AI也有其局限性。
1. 骗过一次就能畅通无阻:AI可用于欺骗其他AI
这是个大问题。安全人员用AI优化威胁检测的同时,攻击者也在琢磨着用AI规避检测。公司企业用AI以更高的准确率检测攻击,攻击者就用AI来开发更智能、会进化的恶意软件来规避检测。基本上,恶意软件就是用AI来逃过AI检测。恶意软件一旦通过了公司的AI检测关,可以很轻松在公司网络内横向移动而不触发任何警报,公司的AI会将恶意软件的各种探测行为当做统计错误加以排除。而到恶意软件被检出之时,安全防线早已被洞穿,伤害也可能已经造成。
2. 功耗成问题:低功耗设备可能拖不动AI
物联网(IoT)设备通常都是低功耗小数据量的。如果攻击者成功将恶意软件部署到了这一层次,那AI基本就顶不上用了。AI需要大量内存、算力和大数据才可以发挥作用。而IoT设备通常不具备这几个条件,数据必须发送到云进行处理才可以受到AI的响应。而那时,已经太迟。就好像出车祸时车载AI会自动拨打报警电话并报告车辆所处位置,但车祸已经发生的事实改变不了。车辆自动报警可能比等路人帮忙报警要快一点,但仍然无法预防撞车。AI最多有助于在设备完全失控之前检测出有什么不对劲,或者,在最坏的情况下,让你不至于失去整个IoT基础设施。
3. 已知的未知:AI无法分析自己不知道的东西
严格控制的网络上AI运行良好,但现实世界缤纷多彩不受控。AI有四大痛点:影子IT、BYOD项目、SaaS系统、雇员。无论你给AI灌注了多少大数据,都得同时解决这4个痛点,而这是难度大到几乎不可能的任务。总有雇员会通过不安全WiFi网络在个人笔记本电脑上打开公司的Gmail邮件,然后,敏感数据就此流失,AI甚至连知道这一事件的机会都没有。最终,公司自己的应用可以受到AI保护,防止用户误用,但终端用户使用你根本感知不到的设备你是无法防护的。另外,仅提供智能手机App,不提供企业访问控制,更不用说实时日志的云系统,你又怎么引入AI呢?这种情况,企业没有办法成功利用机器学习。
AI确实有所帮助,但它并非游戏规则颠覆者。AI可用于在受控系统中检测恶意软件或攻击者,但难以防止恶意软件被部署在公司系统中,而且除非你确保它能控制你所有终端设备和系统,否则它一点用都没有。网络攻防战一直在继续,只不过,防御者和攻击者都在用与以往不同的武器,而我们的防御只有在恰当部署和管理之下才会有效。
与其将AI当成网络安全救星,不如把精力放在更基本的老问题上:缺乏控制、缺乏监视、缺乏对潜在威胁的理解。只有了解了用户和用户使用的设备,知道用户都会拿这些设备来干什么,然后确保所用系统能切实受到AI的保护,才可以开始部署并训练AI。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】