AI补丁管理给网络安全带来五大变革

VSole2023-05-18 15:22:03

补丁管理面临的主要挑战是网络攻击者不断增长的技术与非数据驱动的,被动式补丁管理之间的差距不断加大。

今天,网络攻击者能够获取哪些漏洞CVE更容易受到攻击的上下文情报,同时利用新技术逃避检测,击败手动补丁管理系统、武器化漏洞。而传统补丁管理的手动方法(或代理过多导致端点过载)不但难以覆盖全部攻击面,而且存在可利用的内存冲突。

根据CrowdStrike的2023年全球威胁报告,无恶意软件的入侵活动占比高达71%,47%的攻击行为是由未修补的安全漏洞造成的,超过一半的组织(56%)依靠手动修复安全漏洞。

更糟糕的是,20%手动修补漏洞的端点仍未在补丁上保持最新状态,容易再次遭到攻击。

“漏洞修补并不像听起来那么简单,”Ivanti首席产品官Srinivas Mukkamala博士说:“即使是人员充足、资金充足的IT和安全团队也会在紧迫需求中遇到优先级排序挑战。为了在不增加工作量的情况下降低风险,组织必须实施基于风险的补丁管理解决方案,并利用自动化来识别、确定优先级甚至修补漏洞,而无需过多的人工干预。”

基于风险的漏洞管理和人工智能是安全厂商追逐的热点

基于风险的漏洞管理(RBVM)是很多CISO技术堆栈整合计划的一部分,这种方法效率更高且部署更快,因为它是基于云的。而基于人工智能的补丁管理则需要持续分析数据流的算法,以便不断“学习”和评估补丁漏洞。

过去,大型企业和行业用户对关键业务系统和端点的补丁管理是被动的,只有发生重大安全事件,例如网络攻击、关键任务系统遭入侵、或访问凭证失窃才会进行必要的修补工作。

根据Ivanti的《2023年安全准备状态报告》,在61%的情况下(下图),只有遭遇外部事件、入侵企图或破坏企业才会重新启动补丁管理工作。

图片来源:Ivanti 《2023年安全准备状况报告》

网络安全团队迫切需要一个更高效、可扩展的系统来确定补丁管理的优先级,该系统可以通过数据分析和情报使流程自动化,大大提高安全团队的效率。

AI补丁管理改变网络安全的5种方式

基于AI的自动化补丁管理,同时利用不同的数据集并将其集成到RBVM平台中,是AI在网络安全中的绝佳用例。基于AI的补丁管理系统可以解读漏洞评估遥测数据,并按补丁类型、系统和端点对风险进行优先级排序。基于风险的评分是这个市场上几乎所有安全厂商都在狂热跟踪人工智能和机器学习技术的原因。

基于AI和机器学习的漏洞风险评级或评分可提供安全团队所需的洞察力,对修补工作流进行优先排序和自动化。以下是AI驱动的补丁管理重新定义网络安全未来的五种主要方式:

准确的实时异常检测和预测(抵御AI攻击的第一道防线)

攻击者已经开始利用AI寻找和利用漏洞,对端点上的安全防御边界构成严重威胁。攻击者利用受监督的机器学习算法,通过数据训练,自动识别漏洞的攻击模式并将其添加到攻击者的知识库中。如今,机器身份的数量是人类身份的45倍,暴露在攻击者视野中的端点、系统和资产中未受最新补丁保护的漏洞数量与日俱增。

目前已经披露的漏洞数量超过16万个,补丁管理已经成为安全团队的沉重负担,迫切需要提高补丁管理的自动化水平。人工智能“副驾驶”能够提供更高的上下文智能和检测与预测准确性,帮助团队快速确定优先级、验证和应用补丁。

不断学习、改进和扩展的风险评分算法

手动修补漏洞往往会失败,因为它涉及同时平衡许多未知的约束和软件依赖性。考虑安全团队需要处理的所有因素,企业软件供应商发布补丁的速度可能很慢,可能存在不完整的回归测试。匆忙给客户提供的补丁往往会破坏关键任务系统的其他部分,而供应商通常不知道原因。端点上的内存冲突也经常发生,从而降低端点安全性。

风险评分对自动化补丁管理意义重大。漏洞风险评级有助于确定和管理风险最高的系统和端点的修补优先级,有助于简化基于AI的补丁管理。

机器学习推动实时补丁情报的发展

机器学习是改进关键基础设施漏洞管理的最有价值的技术之一。监督和非监督机器学习算法有助于实现更快的SLA,提高了数据分析和事件处理的效率、规模和速度。它们有助于增强异常检测。机器学习算法可以为数千个补丁提供威胁情报数据,揭示系统漏洞和稳定性问题。

该领域的领导者包括Automox、Ivanti Neurons for Patch Intelligence、Kaseya、ManageEngine和Tanium。 

自动化修复可节省大量时间,同时提高了预测准确性

机器学习算法可通过持续分析和学习遥测数据来提高预测准确性并自动执行补救决策。该领域最值得关注的项目之一是快速发展中的机器学习模型EPSS(漏洞利用预测评分系统),该模型来自170位安全专家的集体智慧。

EPSS能够帮助安全团队管理越来越多的软件漏洞并识别最危险的漏洞。现在,EPSS的第三次迭代版本的性能比以前的版本提高了82%。Gartner在其报告“跟踪正确的漏洞管理指标”中写道:“快速修复漏洞的成本高昂,并且可能误入歧途。通过基于风险的补丁修复漏洞更具成本效益,并且针对的是最容易被利用的关键业务威胁。”

对端点资产和身份的上下文理解

基于AI的补丁管理的的另一个吸引人的创新领域是利用快速定位、清点和修补需要更新的端点。每个供应商的方法都不同,但共同目标是取代过时的、容易出错的、基于手动库存的方法。补丁管理和RBVM平台提供商正在快速推出新版本,不断提高预测准确性以及识别哪些端点、机器和系统需要打补丁的能力。

网络安全机器学习
本作品采用《CC 协议》,转载必须注明作者和本文链接
对决策者和从业者来说,务实的做法是细致了解哪些任务可以从机器学习中受益,哪些任务不能。
近年来,网络威胁正在成倍增加和升级。面对日益严峻的网络安全态势,人工智能中特别是尖端的机器学习方法已经开始应用到网络防御领域,包括根据数据模式来开发用于防御网络攻击的预测模型等。这种人工智能方法可能非常有效,但却使机器学习型系统容易受到错误和恶意干扰的影响,因此开发能够防止欺骗性攻击的稳固性机器学习型系统已迫在眉睫,但各种稳固性措施通常会削弱机器学习型系统的准确性。鉴于此,本报告分析了如何在机器
2022年是人工智能和机器学习技术在网络安全领域取得重大突破的一年,也是企业CISO们开始利用人工智能技术突破网络安全“不对称战争”困局的一年。
近年来机器学习的快速发展使人工智能的潜在能力显而易见。在十几次采访过程中,研究人员、投资者、政府官员和网络安全高管绝大多数表示,他们正以怀疑和兴奋的心情关注生成式人工智能的防御潜力。他们的怀疑源于一种怀疑,即营销炒作歪曲了该技术的实际功能,并且认为AI甚至可能引入一组新的、人们知之甚少的安全漏洞。但这种怀疑被真正的兴奋所掩盖和缓和。这在很大程度上是由于行业领导者OpenAI发布其生成AI产品的积极性。
人工智能技术已经开始融入到各类应用系统中,但研究机构Gartner认为:目前的自动化技术应用水平和能力可以进一步提升。Gartner分析师预测:超自动化技术很快将会成为全球性的商业技术发展趋势。在网络安全领域,超自动化可能是让组织有效管理众多警报和网络事件的利器。
最新的研究表明,97%企业由于担心API安全,在发布新的应用和软件功能时经历延迟。随着企业从预测供应链需求到阻止欺骗的每件事上日益依赖AI模型,2022年,AI技术的完整性、保密性和可用性变得非常重要。安全领导人越来越相信,AI模型和AI数据可能变成网络安全的下一个战场。所有迹象表明在未来的一年内,随着从业者和研究人员一起创新,需要在这个领域开展更多的工作,确保下一代企业AI工具的安全。
企业通过SASE大规模实施ZTNA来改善安全状况,同时帮助巩固数据中心和企业范围的安全性。Hitch Partners今年早些时候发布的一项针对650名企业安全高管的调查显示,19%的上市公司和46%的私营公司中,CISO事实上同时担任了CISO和CIO的双重角色。其中混合多云平台是风险最大、保护难度最大的平台之一。防御者的目标是立即阻止攻击者横向移动并减少攻击面威胁。
人工智能(AI)和机器学习(ML)如今深入我们日常生活的方方面面,包括网络安全。在网络安全人员手里,AI/ML可以识别漏洞并减少事件响应耗时。但在网络罪犯手里,AI/ML就能用于制造重大伤害。
VSole
网络安全专家