網路安全的AI軍備競賽

Wayne Dorris

隨著技術的進步,可以肯定的是,犯罪團體會迅速檢視科技用於犯罪。無論是網路罪犯規劃勒索軟體攻擊,還是竊取資料和金融資訊,或是國家希望破壞敵人的重要基礎設施(或許不只如此),新技術都有可能成為軍火庫的生力軍。

這些組織跟合法企業一樣擁有豐沛資金,其可以在使用新技術方面上創新-人工智慧 (AI)、機器學習 (ML) 和深度學習 (DL),不受任何國家或國際條約或法律、良知或道德規範的阻礙。他們只會探討這些技術為他們帶來實現犯罪目標的機會。

儘管新技術會落入罪犯和歹徒的手中,但它也可以透過這些組織的目標作為防禦之用。

隱藏在清晰的視線中

大量證據顯示,歹徒正在利用人工智慧 (AI)、機器學習 (ML) 和深度學習 (DL) 來改善攻擊的複雜度。儘管大規模分散式阻斷服務 (DDoS) 攻擊通常會登上頭條新聞-當他們找上高知名度網站和線上服務時-大多數網路罪犯的主要目標是儘可能延長不被偵測到的時間。就像房子的竊賊一樣,儘可能長時間不被發現-逐屋尋找貴重物品,儘可能在他們進入時保持隱蔽-網路罪犯會想要滲透網路、在網路上活動然後離開而不被發現。

要做到這一點,無論是人還是裝置,他們的目標是儘可能看起來像是網路的合法使用者。這就是為什麼 AI 機器學習能夠成為可貴的新武器,讓網路罪犯得以學習人與裝置的網路行為、快速發展全新惡意軟體和網路釣魚策略,並且進行大規模部署。存取任何網路的最簡單方法仍然是以某種方式強迫合法使用者按下連結,然後打開大門。而老闆寄來的電子郵件,假冒和真的幾乎無法區別,包括語氣和語言風格。

Darktrace 公認為全球專注於網路安全領域的 AI 公司之一,而且正如您所期望,對於犯罪團體日益增加使用 AI 的事實,他們也有深入了解。這篇部落格文章詳細說明了在攻擊生命週期中使用 AI 為網路罪犯所帶來的好處,從透過假的社交媒體個人檔案以聊天機器人接觸員工,到利用神經網路來識別並擷取最有價值的資料。

IT 與 OT 之間的連結日益增加,同時也造成危險

Darktrace 部落格文章也特別討論,在網路中獲得存取權之後進行橫向移動的目的。這對於滿足網路罪犯的目標非常重要,因為網路進入點(可能是位於遠端位置的不安全裝置)很少是想要的最終位置。最終,歹徒將希望通往更敏感的網路區域,一路收集使用者認證,特別是那些具有特殊權限的使用者(例如網路管理員),以便提供存取網路的主要金鑰。

在連線裝置的世界和所謂的物聯網 (IoT) 中,隨著資訊科技 (IT) 網路與營運技術 (OT) 環境的緊密整合,風險的機率正爆炸性地攀升。簡單而言,IT 網路管理數位資訊流程,OT 管理實體流程的運作、業務或特定位置的機械和實體資產。對於那些目的在於中斷和破壞而非盜竊的歹徒而言,存取 OT 將不可或缺。對於進入發電廠、煉油廠或醫院內的機械,其所造成的潛在損害完全不需要想像力就能了解。

AI 作為防禦和攻擊的工具

我們花了很長的時間,檢視歹徒和網路罪犯可能應用的 AI 和 ML,這是一幅相當令人心驚膽顫的圖畫。然而,這些相同的技術當然可用於保護網路免遭滲透,而且在許多方面,優勢在防禦者更甚於攻擊者。

我與Darktrace執行副總裁 Jeff Cornelius會談,了解更多關於該公司在 AI 和 ML 方面的創新方式,確保領先犯罪分子一步。現在把麥克風交給 Jeff…

「首先,無論媒體為您帶來什麼樣的印象,開發人工智慧和機器學習並不容易!雖然我們的強大對手是希望發動網路攻擊的犯罪團體和國家,但有些方面有利於我們。」

「其中主要在於,有鑑於客戶提供的存取權限,我們可以看到完整網路活動,讓我們用來瞭解每個裝置和使用者行為。相較之下,歹徒只能依靠有限的活動觀察。他們從最初的立足點所採取的每一個行動,都是部分盲目的想要進入我們的環境,我們瞭若指掌而他們沒有。他們的最終目標是業務不執行的活動。我們的主要目標是識別和解決網路行為中的異常,這是一個必然的範圍,因為我們不知道對手可能在何時或何處出現,或者他們可能的具體新方法或目標是什麼。」

「打個比方,一個從我家外面研究我日常活動的人,會針對我的習慣建立一個相當詳細的觀察:我每天離開房子的時間,我上班的路線,我在那裡買午餐等等。他們或許可以模仿我生活中的某些部分。但少了在我家內部的觀察,如果他們試圖模仿我早餐的口味,他們幾乎肯定會犯錯,很容易由親密的家庭成員發現異常。網際網路上通常會有資訊,透過聰明的鉤子(網路釣魚電子郵件)來鎖定個人,一旦進到內部便如入無人之境。」

受監督與無監督的機器學習

「在受監督和無監督的機器學習之間,有一個重要的區別。在前者,電腦是針對一組已知數據進行訓練,並不斷地回到這些數據,以檢查得到的結果是否為預期結果。從網路安全的角度來看,學習模型是以已知惡意軟體為基礎。這就是犯罪分子與網路安全之間真正競爭之所在:歹徒利用 ML 來創造新版惡意程式,我們看到這些惡意軟體的指數成長,而網路安全公司正試圖透過編寫新模型來跟上步伐。這有點像拼寫檢查,試圖跟上一個每天建立新單字甚至新語言的世界。即便可能,要跟上步伐也變得越來越困難。

相較之下,無監督的機器學習演算法不依賴過去對於威脅的知識,而是獨立分類資料並偵測引人注目的模式。在這種情況下,進行大規模網路資料分析,僅根據他們所看到的證據進行數十億次的概率計算。從此,他們在特定網路上形成對於「正常」行為的理解,包含裝置、使用者或任一實體的群組。然後,他們可以針對這種不斷演變的「生活模式」偵測偏差,這可能指向發展中的威脅。這個預警系統將使我們能夠領先網路罪犯和歹徒。」

AI 和機器學習在網路安全的主題中非常吸睛,即使這篇漫長的部落格文章也無法道盡!其相關性也可能看起來更為廣泛,而不僅僅是與安全和監控有關。當然,網路影像和音訊也可能成為目標,一如任何連線網路的裝置一樣,所以我們對此非常有興趣。

可在此處找到有關 Axis 和網路安全的更多資訊。

網路安全