道高一尺魔高一丈当黑客学会AI怎么防？

2020-01-31 05:08:00 [ 中关村在线原创 ] 作者：徐鹏

如今，人工智能涉及的领域非常广泛，工业、航天、商业都有应用，并且已经深入人们的生活，打开手机中的Cortana或者Siri，这就是AI的产物。要知道，在几十年前，这种超前的技术是不受认可的，教授相关课程的学校也是寥寥无几。究其原因，主要就是数据的积累和应用。高容量存储设备丰富了数据量的留存，随着数据的不断增加，人们开始在其中发现某种规律，引发了分析的需求。

道高一尺魔高一丈当黑客学会AI怎么防？

分析让大量的数据有了价值，机器开始懂得用户想要什么，可以预测未来的天气和球赛的比分，这种人工智能与场景的结合，要实现的就是改变生活方式和解放生产力。具体来说，很多过去只有人能做的事情，现在更多的情况下能够通过机器实现，典型的例子包括语音助手、无人驾驶汽车。更重要的是，当硬件性能逐渐提升、计算资源越来越强大时，成本却越来越低廉。

掌握用户信息之后的AI系统可能比用户更了解自己，他们会知晓用户的饮食习惯、锻炼情况、身体变化等等，而且将碎片化的数据拼凑成分析系统就能对人形成整体的特征描述。特别是在越来越多的政企类客户走上云端之后，居民隐私的问题就被上升到了新的层面。

在数据运用上，AI和隐私一直是矛盾的，前者需要更多的数据作为训练资料变得更聪明，后者则是用户谨慎对待的私密信息，那么能否有一种两全其美的方法可以解决这一问题呢？联邦学习让数字解构（不共享）的前提下，让各方联合建模，从而提升模型的训练效果，或许能在一定程度上解决这个问题。

然而，AI也给黑客带来了机会。Akamai在《互联网发展状况安全报告》中指出，网络犯罪分子通过组织完善、精密复杂的网络钓鱼工具包操作，将全球一线品牌及其遍布各个行业的用户作为目标。在调查期间，有6035个恶意域和120个工具包变体针对的是高科技领域，这使得高科技行业成为网络钓鱼攻击的首要目标。紧随其后的就是金融服务，有3658个恶意域和83个工具包变体针对该领域，使其成为遭受攻击第二多的行业。电子商务（1979个恶意域，19个工具包变体）和媒体（650个恶意域，19个工具包变体）行业在攻击列表中也名列前茅。

针对性的攻击不局限于行业，同样聚焦在攻击方式。2019年，越来越多的攻击者将试图访问家庭路由器与其他物联网中心，以捕获经过这些路由器或中心的数据。例如，入侵这些路由器中的恶意软件可以窃取银行凭证、捕获信用卡号或向用户显示用于盗取敏感信息的虚假恶意网页。也就是说，攻击者通过新的方式利用家庭Wi-Fi路由器，以及其他安全性较差的物联网设备来进行攻击。

虽然通用型的勒索软件攻击有下降的趋势，但这些威胁却变得更有针对性，尤其是关注那些情愿投入大笔资金去“赎回”或是恢复数据的企业。这样一来，即使没有大规模、大流量的攻击，即使小规模攻击也能让对方难以招架。应用层、协议级的攻击正在成为主要威胁，攻击者可以发起多维的向量攻击。调查显示，在DDoS保护服务遇到的攻击中有86%以上使用了两个或多个威胁媒介，其中8%包含五个或多个媒介。

此外，AI与云平台的紧密结合也让风险蔓延开来。LinkedIn曾经做过一项调查：49%的CIO和企业认为，影响他们上云的主要原因是担心数据的丢失和泄漏，59%的人认为，传统的网络安全工具在云端具有局限性。事实上，尽管当前各厂商在设计架构时更重视IaaS层的资源隔离，不过PaaS层和SaaS层仍储存了大量的用户数据。之所以出现这些问题，一方面是上云业务与原有IT架构的安全组件集成度不够，另一方面也是企业客户过于追求成本效益，忽视了安全因素。

为了让安全性追上业务向云迁移的速度，云服务商和企业客户需要从基础实施、托管平台、应用部署方面，围绕政策法规、数据存储、成本管理等流程构建一体化方案。在企业内部，涉及关键项目的所有成员要对云安全技术引起重视，而不是把责任推给单独的安全部门。在企业外部，需要让身份访问、日志管理、事件响应满足云时代的监管标准。

到2019年初，针对性勒索软件数量倍增，多个犯罪团伙相继出现，包括GoGalocker（又称LockerGoga）(Ransom.GoGalocker)、MegaCortex (Ransom.MegaCortex) 和 RobbinHood (Ransom.Robbinhood)。除了专门发动针对性攻击的犯罪团伙以外，还出现了大量勒索软件犯罪团伙，例如 GandCrab（Ransom.GandCrab）和 Crysis（又名 Dharma）(Ransom.Crysis)，据报道，这些团伙不仅发动无差别攻击，还会实施针对性攻击。

当然，人们也在利用人工智能来抵御风险，而AI的优势在于可以自我训练和检测。例如万事达信用卡会通过大数据平台对风险模型作出预估，其使用深度学习对用户行为、登录识别、事件响应等因素进行分析，甚至可以细化到操作输入关键词、用户搜索时输入的频率等等。基于用户行为，AI还可以分析用户在IT环境中的交互行为变化。例如，LogRhythm就在使用SIEM平台进行威胁检测。

优势在于，模拟不同类型的账户和特征，再加上相关的标识符可以与真实用户发生关联，以此来构建更全面的配置文件，同时根据这些行为数据和过去的信息对未来威胁作出预测。另一家AI公司则是使用差异化对比方法，用60多种ML模型对整个数据生命周期内的行为进行检测，这种立体式的建模方式对应对复杂攻击颇有成效。

万物互联的智能时代，风险与机遇是并存的，企业在享受AI红利的同时，只有加强风控意识才能让智能化的生产和生活更加安心。