网络安全领域出现了一位令人着迷的新玩家,它的名字叫 Chronicle。值得注意的是,它是 Google 母公司 Alphabet 的一部分,并从 Alphabet 的“登月项目”孵化器 X 中脱颖而出。Chronicle 上周在 Medium 上的两篇博客文章中宣布成立,其目标是帮助公司理解自身的安全数据,并据其首席执行官所说,“在网络攻击造成损害之前阻止它们”。
在这个全球计算机感染(如 WannaCry)或计算机处理器漏洞(如 Meltdown 和 Spectre)的时代,一家类似 Google 的公司将重心和资源转向网络安全是一件好事。但关于它可能如何运作的信息非常有限。
在该公司的联合创始人兼首席执行官 Stephen Gillett 的一篇 博客文章 中,他写道,该公司的重点之一将是“一个新的网络安全情报和分析平台,我们希望它可以帮助企业更好地管理和理解他们自己的安全相关数据。” 他补充说,一些公司已经在使用该平台的一个初始版本进行测试。他们的系统还将使用一种称为人工智能的机器学习技术。
尽管该公司除了已经公开的信息外,并未分享更多细节,但机器学习代表着一种强大的工具,可以帮助理解公司收集的海量网络安全数据。
Shape Security 的首席技术官兼前 Google 点击欺诈主管 Shuman Ghosemajumder 表示:“我认为利用 Google 的数据来改进整个生态系统的网络安全,是 Google 独有信息的一个非常直接的应用。”
数据过载
根据 Gillett 对该公司的解释,Chronicle 将帮助公司理解其内部防御系统每天产生的可能成千上万的“安全警报”。他写道:“典型大型组织部署的几十种安全产品产生的数据激增,却适得其反地让团队更难检测和调查威胁。” 而且所有这些数据存储起来也很昂贵。
卡内基梅隆大学计算机科学副教授 Bryan Parno 表示,公司网络活动的数据可以以事件日志的形式出现。在计算机网络中,事件可以很简单,例如有人早上登录他们的机器、计算机之间的通信,或者人们下载的文件。这些事件日志还可以包括安全警报,例如登录失败的尝试。杀毒软件以及其他安全设备也会产生通知。Parno 推测,Chronicle 可能想要处理的是这类通用数据。
Parno 说,下一步是进行“异常检测”,这是一个查看数据并找出正常流量和异常流量之间区别的过程。
释放人工智能
这就是机器学习可以发挥作用的地方,它可以从海量数据中获取洞察。Parno 说:“安全分析师经常花费大量时间来处理‘我们收到了这么多警报,我们必须对其进行某种程度的排序。’”目标是区分真正的威胁和正常的流量。
机器学习擅长从数据中学习——一个典型的例子是,通过给一个学习算法提供大量的猫的图片,让它自己找出关于猫的特征规则,而不是试图显式地编程这些规则。然后,该软件就可以在新图像中识别出它认为是带胡须的动物。
在这种情况下,数据不是毛茸茸的宠物。正如 Gillett 在他的博客文章中所说,它是安全警报或那些事件日志等信息。Parno 说,工程师们倾向于在“好东西”上训练他们的系统——向它展示正常的流量是什么样的,这样它就可以从中学习,因为大多数流量都是良性的。
Parno 说:“你主要是为‘好’而训练,并说,‘任何我识别不出来的‘好’的,很可能就是‘坏’的。’” Chronicle 可能会训练其算法来识别来自正常流量、恶意流量或两者的信号。(该公司的一部分包括 2012 年收购的 VirusTotal,该公司专注于恶意软件检测。)简而言之,Chronicle 是一个旨在快速分析公司自身网络安全状况的平台。(类似地,另一家新公司创建了一个人工智能系统,旨在帮助类似中情局的情报分析师理解报告和其他数据。)
Parno 说,该系统还可以加速在出现问题(例如计算机感染恶意软件)后,追溯事件发生过程的艰苦工作。
但 Parno,他专注于计算机安全和密码学,发出了谨慎的声音。他补充道:“历史上,将机器学习非常有效地应用于安全问题一直是一个挑战。”这是因为它擅长识别他称之为“平均情况”。如果 Siri 或 Alexa 99% 的时间都能理解你说的话,那基本上是可以接受的。但他说,在安全领域,99% 是不够的。“异常检测的致命弱点一直以来就是攻击者会说:‘好吧,我将非常小心地制作我的攻击,使其看起来像正常的活动。’”
