信息来源:企业网
人工智能和机器学习并不能解决所有IT世界的安全问题,尽管一些宣传和炒作可能会暗示这一点。但是,谨慎使用这些技术可以使安全团队在大规模运营时更加轻松。
人工智能和机器学习已经成为IT行业的流行术语,有时会被纳入安全性营销信息中。许多宣传其算法能力的产品已经投放市场,但有些产品的能力让人质疑。
机器学习包括收集数据、提取数据中的特定功能以训练模型,以及对这些模型的应用和不断调整以确保期望的结果。很多企业现在使用这些技术,但在安全性方面,当维度相对较小时最有效。机器学习在自动化技术方面尤其有用,这对于云计算的大规模部署至关重要。
照片打印零售商Shutterfly公司计划将其业务从本地数据中心迁移到云平台,并与AWS公司开展合作。但面临的最大挑战是AWS身份和访问管理(IAM),这是云计算模型中最复杂的部分,这与企业内部部署数据中心使用的控制有着很大不同。
Shutterfly公司首席信息安全官Aaron Peck表示,“容器和Lambda函数并没有大规模管理身份和访问管理(IAM)的指示,这是因为大规模的身份和访问管理(IAM)意味着每个公司都有不同的东西。”
Peck例举了一个拥有100个用户和200个不同组的公司的例子。在AWS的实例中,这些服务中有100多个服务和4,000个角色,如果该公司实现了最少权限的最佳实践,则可以转化为大约100,000个策略决策。
Peck说:“在没有任何自动化或机器学习或人工智能帮助的情况下,大规模地做到这一点是不现实的。”
Shutterfly公司将AWS CloudTrail日志直接发送到其Splunk部署,但最终采用Avid Secure公司的产品以实现可见性和合规性检查。这有助于监控持续集成和持续交付 (CI/CD)管道中的任何问题。Avid Secure是初创公司之一,他们在有限和有针对性的基础上使用机器学习技术来确保合规性。
新的开发模型需要新的安全方法
人工智能和机器学习在安全领域的应用与软件开发的更广泛的转变相吻合。构建微服务的公司已经推动开发人员和运营团队之间的更大合作,并且安全性更早地进入了这个过程,即所谓的DevSecOps。
451 Research公司分析师Fernando Montenegro说,“云交付模型现在依赖于从事分布式工作的人员。如果企业拥有DevOps团队,安全的角色更多的是建立这些安全护栏。”
持续集成和持续交付 (CI/CD)管道意味着开发人员可能每天都会编写新代码,这使得冗长的人工安全审查技术变得过时。而且,在API驱动的世界中,现在生成的数据远远多于私有数据中心处理所有内容时的数据。大量数据提高了对自动化的需求。
超大规模云计算和第三方添加人工智能技术
如今,主要的云计算提供商都在其安全服务中添加了一定程度的人工智能,但最突出的两个例子来自于AWS的安全产品组合。Amazon Macie用于发现、分类和保护敏感数据,而亚马逊GuardDuty则添加持续监控,以防止未经授权的行为。
虽然AWS公司继续增加功能,但这些工具已经因其在后台工作并增加保护层而赢得赞誉。这些类型的服务非常适合超大规模云计算提供商,因为他们在网络中拥有大量数据,可以更轻松地发现恶意行为模式。
尽管如此,还是有一些限制。例如,亚马逊Macie和GuardDuty只能在本地部署的数据中心工作。由于大多数组织将应用程序分布在多个公共云和私有数据中心,因此可能会放弃在大多数或所有环境中都不起作用的任何工具。
IDC公司分析师Abhi Dugar说,到目前为止,人工智能和机器学习主要局限于本地化环境。然而,为了真正有效应用,这些工具必须超越这些参数。
Dugar说:“当企业开始跨越数据中心或可用性区域时可能会出现一些威胁,而这些威胁尚未被考虑过。”
此外,AWS和其他公共云提供商似乎也不太愿意深入研究应用程序级的安全性。由AWS公司首创的共享责任模型提出一个规则,规定了供应商的职责在哪里结束,客户的职责从哪里开始。用户可以访问大量的日志数据,这些数据可以用于内部跟踪工作负载,或者他们可以求助于第三方供应商来为他们处理这些数据。
一些第三方安全供应商担心这可能会过度夸大机器学习在云安全中的作用。他们说,最好由二进制决策来决定,在恶意软件检测或敏感信息扫描中已经有了成功的实施。
安全厂商云计算研究副总裁Mark Nunnikhoven表示,TrendMicro多年来在内部部署数据中心使用机器学习技术,但只限于有意义的应用。例如,运行一个更简单的统计分析比训练和安装人工智能模型要花费更少的成本和时间。
Nunnikhoven说,“这可能是非常昂贵的计算。当需要确定某个操作是好是坏时,可能会有更好的方法。”
Rackspace公司网络安全和运营高级主管Daniel Clayton说,“网络攻击者为了避免被发现,经常会找到应对这些算法的创新方法。这就是为什么在行为分析中使用人工智能还有一段路要走,以及安全分析人员在威胁识别和响应中仍将发挥重要作用的原因。”
Clayton说,“这是企业解决安全问题的一种努力,但也面临一些主要的问题,因为根本不存在万能的解决方案。”