網路安全性中機器學習的未來發展
機器學習 (ML) 是現在幾乎所有 IT 部門的常用術語。雖然 ML 經常被用來分析大數據,藉以改善業務績效和流程並協助做出預測,不過這在其他應用程式中也經證明成效卓著 (包括網路安全性)。本文將解說 ML 在網路安全性中如此重要的原因、探討該技術的特定應用程式所面臨的一些挑戰,並描述機器學習未來呈現的樣貌。
為什麼機器學習對於網路安全性極為重要
對於機器學習的需求與複雜度有關。許多企業如今擁有愈來愈多的物聯網 (IoT) 裝置 ,IT 部門未必能了解這些裝置並對其進行管理。並非所有數據和應用程式都在內部部署運作,因為混合雲和多雲端已成為新常態。使用者大多數的時間不在辦公室,因為遠端工作已成為廣泛接受的工作型態。
在前不久,企業仍使用基於特徵碼的惡意軟體偵測、網路流量的靜態防火牆規則和存取控制清單 (ACL) 定義安 全政策。在使用的裝置更多且工作地點更多的世界中,偵測潛在安全風險的舊方法無法因應規模、範圍和複雜度的變化。
機器學習就是訓練模型從大量數據中自動學習,然後系統透過學習而識別趨勢、發現異常、提出建議並在最後 執行動作。為了解決企業面臨的所有新的安全挑戰,顯然需要機器學習。只有機器學習才能解決網路安全中愈 來愈多的挑戰:擴展安全解決方案、偵測未知攻擊和進階攻擊,包括多型態惡意軟體。進階惡意軟體可以改變形式以規避偵測,而使用基於特徵碼的傳統方法很難偵測到此類進階攻擊。事實證明,ML 是防範此類攻擊的最佳解決方案。
什麼因素促使機器學習在網路安全性中與眾不同
機器學習在許多領域獲得很好的了解和廣泛部署。其中最受歡迎的是用於識別的映像處理和自然語言處理 (NLP),有助於了解人類或一段文字的意涵。
網路安全在某些方面不同於機器學習的其他使用案例。在網路安全性中運用機器學習 也有本身的挑戰和要求。我們 將討論將 ML 應用於網路安全性的三個獨特挑戰以及網路安全性中三個常見但更加嚴峻的挑戰。
將 ML 應用於網路安全性的三個獨特挑戰
挑戰 1:更高的準確度要求。 例如,如果您只是在進行映像處理,而系統將狗誤認為貓,這種情況可能會很煩人,不過可能不會對成敗產生影響。如果機器學習系統將詐欺性數據封包誤認為是合法數據封包,因而導致對醫院以及院內裝置的攻擊,則錯誤分類的影響可能會很嚴重。
企業每天都會看到大量數據封包穿越防火牆。即使只有 0.1% 的數據被機器學習錯誤分類,我們也可能錯誤阻止大量正常流量,因而嚴重影響業務。可以理解的是在機器學習的早期,一些企業擔心模型不像人類安全研究人員一般準確。實際訓練機器學習模型需要時間,也需要大量數據,才能達到與真正熟練的人相同的準確度。不過,人才無法擴展,而且也是現今 IT 產業最欠缺的資源。我們需要 ML 才能有效擴展網路安全解決方案。此外,ML 有助於我們偵測人類難以偵測的未知攻擊,因為 ML 可以建立基準行為,並且偵測任何偏離這些行為的異常情況。
挑戰 2:存取大量訓練數據,特別是標記數據。 機器學習需要大量數據才能提升模型和預測的準確度。取得惡意軟 體樣本比取得映像處理和 NLP 中的數據更加困難。攻擊數據不足,大量安全風險數據因隱私問題而顯得敏感,而且無法取得。
挑戰 3:基本事實。 不同於映像,網路安全性中的基本事實可能不一定可用或固定不變。網路安全性形勢呈現動態,而且持續在變化中。沒有惡意軟體數據庫可以聲稱涵蓋全世界所有的惡意軟體,而且隨時都會產生更多的惡意軟體。為了確定我們的準確度,我們應該比較哪些基本事實?
網路安全性中的三個 ML 挑戰變得更嚴峻
對於所有領域的 ML 來說,也還有其他常見的挑戰,不過對於網路安全性中的 ML 來說更為嚴峻。
挑戰 1:機器學習模型的可解釋性。 全面了解機器學習結果對於我們能否採取適當行動來說至關重要。
挑戰 2:人才欠缺。 我們必須將領域知識與 ML 專業知識相互結合,以便 ML 在任何領域都有效。無論是 ML 還是安全性本身都欠缺人才;更難找到既了解 ML 又了解安全性的專家。這就是我們發現確保 ML 數據科學家與安全研究人員合作極為重要的一點,即使這些人說著不同的語言、使用不同的方法,而且使用不同的思維方式和不同的做事方式。對這些人來說,學會彼此合作相當重要。這兩個團隊之間的合作是將 ML 成功應用於網路安全性的關鍵。
挑戰 3:ML 安全性。 由於網路安全在每項業務中都發揮關鍵作用,因此確保我們在網路安全性中使用的 ML 本身的安全性更為關鍵。學術界已經在這方面進行研究,我們有幸見證保護 ML 模型和數據的 業界運動 並且做出貢獻。Palo Alto Networks 正在推動創新,並盡力確保我們的 ML 安全性。
機器學習的目標是提高安全性和可擴充性,有助於節省勞力並防止未知攻擊。使用勞力很難擴展到數十億台裝置,不過機器學習可以輕鬆做到這一點。這是企業在持續升級的威脅形勢中實現自我保護真正需要的規模。ML 對於偵測許多關鍵基礎結構中的未知攻擊也很重要。我們連一次攻擊都承受不起,因此這可能攸關成敗。
機器學習如何實現未來的網路安全性
機器學習以多種不同方式支援現代網路安全解決方案。個別來看,每種方式都有價值,這些方式都會改變遊戲規則,因而在動態的威脅形勢中維持強大的安全狀況。
識別和剖析: 由於新裝置持續連線到企業網路,IT 企業要了解這些裝置並非易事。機器學習可用於識別和剖析網路上的裝置。這種剖析可以確定特定裝置的不同功能和行為。
自動異常偵測: 使用機器學習快速識別已知的不良行為是很好的安全使用案例。在剖析裝置並且了解例行活動之後,機器學習會得知正常和異常情況。
零時差偵測: 對於傳統的安全性,必須至少發現一次不良行為才會予以識別為不良行為。這就是基於特徵碼的傳統惡意軟體偵測的工作方式。機器學習能夠以智慧化的方式識別以前未知的惡意軟體和攻擊形式,有助於保護企業避免潛在的零時差攻擊。
大規模見解: 由於數據和應用程式分佈在許多不同的位置,因此不可能靠人力識別大量裝置的趨勢。機器學習可以完成人類做不到的事務,因而達成大規模見解的自動化。
政策建議: 建構安全政策的過程通常是需要手動進行的工作,而且充滿挑戰。藉由了解存在哪些裝置以及什麼是正常行為,機器學習有助於為安全裝置 (包括防火牆) 提供政策建議。機器學習不需要手動瀏覽針對不同裝置和網路區段的不同衝突存取控制清單,即可提出以自動化方法進行的特定建議。
由於每天都有許多裝置和威脅出現,而且人力安全資源相當的欠缺,因此只有機器學習才能對於複雜的情況和情境進行大規模分類,讓企業因應目前和未來幾年的網路安全挑戰。