通过自动化和 AI 驱动型智能增强网络安全:Emmanuel Joshua 访谈
快速阅读: 据《所有技术杂志》最新报道,伊曼纽尔·约书华强调,组织应采用可扩展、自适应的检测系统,实时学习新攻击模式,并在开发阶段优先考虑安全性,同时通过全球协作共享威胁情报,以应对复杂多变的网络威胁。
网络安全领域正全力追赶我们数字环境中的新威胁。随着组织面临人工智能驱动的攻击和零日漏洞,新的威胁检测和情报方法从未像现在这样重要。伊曼纽尔·约书华是这一领域的领军人物,作为一名专注于网络安全自动化、威胁情报和检测工程的软件开发工程师,他经验丰富,擅长构建可扩展的安全解决方案。伊曼纽尔专注于自动化安全操作和人工智能驱动的智能,从而减少威胁研究时间并提高检测覆盖率。
他的网络安全之旅始于在国家科学基金会的研究工作,在那里为机器人设计可编程平台的挑战激发了他对这一领域的兴趣。从那时起,伊曼纽尔致力于理解不断发展的攻击手法,并改进安全策略,构建和优化能够实时响应威胁的威胁检测系统。
除了技术贡献,伊曼纽尔还热衷于在网络空间安全领域进行指导和知识分享。他倡导一种未来愿景,即从系统设计之初就融入安全性,并通过全球协作打破当前分散的威胁情报。
我们与伊曼纽尔讨论了威胁检测系统的演变、人工智能对网络安全运营的影响以及他对组织如何在日益复杂的威胁环境中保护自己的愿景。通过人工智能集成将威胁分析时间从8小时缩短到1小时,到实施生成高精度警报的行为分析,伊曼纽尔分享了他在软件工程和网络安全交叉领域的实践经验。
**您的职业生涯专注于网络安全自动化和威胁情报。最初是什么促使您进入这个专业领域,随着时间的推移,您的方法发生了怎样的变化?**
我对网络安全的兴趣直到大学中期才开始形成。我最初被构建Web应用程序所吸引,后来在国家科学基金会(NSF)从事机器人研究。让我接触网络安全的是这些系统的安全保障挑战。我的核心工作集中在确保无线网络中数据流的完整性与保密性,实施加密算法和身份验证机制以防止未经授权的访问。这一认识使我进入了这个行业,将我的技术技能与强烈的问题解决好奇心相结合。
我的方法已经从被动安全转向开发人工智能驱动的系统,这些系统可以自动识别威胁、增强异常识别并显著缩短响应时间。
**您在威胁检测系统方面积累了专业知识。能否向我们的读者解释现代威胁检测与传统安全方法有何不同,为什么这种演变很重要?**
传统安全严重依赖基于签名的检测——根据特定模式识别已知威胁。虽然对已知威胁有效,但这种方法在面对复杂攻击和高级持续性威胁时显得不足。现代威胁检测通过引入行为分析、机器学习和实时监控改变了这一范式。今天的系统不再寻找已知签名,而是建立正常行为的基准并标记异常。这种从“已知坏”到“未知可疑”的转变使我们能够检测到传统方法无法识别的零日漏洞。
这种演变之所以重要,是因为威胁环境变得越来越复杂。我的团队曾面临的最疯狂挑战之一是优化我们的威胁检测平台。在早期开发阶段,安全工程师部署一个单一检测需要超过24小时。我们通过优化和LLM集成的目标是将其缩短至5分钟。我们从查询性能到缓存策略进行了全面改造,使实时验证几乎瞬间完成。现在,安全工程师可以在几分钟内部署检测,没有任何瓶颈。
**人工智能正在改变网络安全。从您的角度来看,人工智能在安全运营中的最有前景的应用是什么?组织应关注哪些限制或担忧?**
我目前正致力于一个使用LLM的人工智能驱动的威胁情报系统,该系统可以自动化和增强威胁研究和检测开发。由于安全工程师手动分析威胁大约需要8小时,这个解决方案使用人工智能来承担繁重的工作,使这一过程只需1小时即可完成。
在防御方面,人工智能通过自动化威胁识别、增强异常识别和缩短响应时间提供帮助。它使安全团队能够处理大量数据并识别人们可能忽略的模式。然而,我们必须承认它对攻击者一方的影响。攻击者现在利用机器学习创建的AI生成网络钓鱼邮件比以往更加逼真,自动化黑客工具,并利用深度伪造技术进行冒充。人工智能使得攻击更快、更频繁且留下的痕迹更少,因此网络安全一直处于追赶状态。
组织应意识到人工智能系统的好坏取决于其训练数据。如果攻击者篡改了您的训练数据,他们可以影响您的人工智能决策。您必须实施严格的验证控制和异常检测技术。
**您的背景包括在国家科学基金会的研究经验。这一学术基础如何塑造了您对现实世界环境中网络安全挑战的理解?**
在NSF,我开发了一个可编程平台来控制机器人(移动代理),如Magni机器人。这个平台规模庞大,旨在多个行业中实现可扩展性。让我接触网络安全的是这些系统的安全保障挑战。这一学术基础教会我要有条不紊地思考安全问题。我了解到,无论系统多么先进或创新,如果不安全,它就是脆弱的。这一认识从根本上塑造了我对现实世界安全挑战的方法,强调了从系统设计之初就将安全性融入系统的重要性,而不是事后添加。
研究环境也培养了对安全理论基础的更深理解,这对适应现实世界环境中的新威胁证明是非常宝贵的。
**威胁情报是现代安全策略的关键组成部分。什么构成了有效的威胁情报,组织如何更好地利用这些情报来加强其安全态势?**
有效的威胁情报需要及时、相关、可行且上下文化。组织应专注于持续监控和现实威胁情报。由于网络威胁经常演变,如果您使用过时的检测规则,您就已经落后了。您的安全系统应该收集实时攻击数据,适应新方法,并根据实际情况改进防御措施。
太多时候,组织收集了大量的威胁数据,但缺乏将这些数据转化为有意义行动的过程。为了更好地利用威胁情报,组织需要可扩展和适应性强的检测系统。传统的安全措施太慢,无法跟上当代威胁的步伐。攻击者发展迅速,因此检测系统必须是实时的、人工智能驱动的,并不断从新的攻击模式中学习。
例如,当我们用基于AWS Lambda和Kinesis的实时管道取代批处理检测系统时,我们不是花几个小时去检测危险,而是在几分钟内就捕捉到了它们。
**许多组织在安全自动化方面遇到困难。您认为自动化项目中常见的陷阱有哪些?您会给希望提升自动化能力的安全团队什么建议?**
最大的陷阱是,如果您的安全团队手动处理每个警报,您已经处于劣势。至关重要的是要创建能够检测和响应威胁的系统,例如阻止恶意IP地址、隔离受损账户并自动启动取证调查。
组织常常在没有适当规划或了解其安全流程的情况下实施自动化。他们自动化了有缺陷的工作流程,创造了更快但仍无效的过程。安全自动化不应只是权宜之计,而应是一种战略方法以全面提升整体安全态势。
我的建议是专注于自动化响应和威胁丰富化。例如,我们在检测管道中实施了自动威胁丰富化,以专注于高保真发现。分析师现在收到预先标记和预分析的事件,而不是花费时间研究警报,响应时间减少了60%。此外,使用行为分析生成高精度警报。在威胁检测领域,误报始终是一个突出问题;您不希望您的安全团队被无意义的通知淹没。不要仅因每次登录失败就标记,而是要查找时间上的模式、设备指纹、登录速度及行为异常。
**考虑到当前的威胁形势,哪种新兴攻击方法让您最为担忧,安全专业人士应该如何准备?**
如今,几种攻击方法因其快速发展和造成重大损害而引人注目:人工智能驱动的网络钓鱼——攻击者利用机器学习创建的AI生成网络钓鱼邮件比以往更加逼真。深度伪造社会工程——想象一下接到CEO的视频电话,要求您转账,但那不是他们。攻击者利用深度伪造音频说服员工接受数百万美元的交易。
人工智能驱动的凭据攻击——攻击者利用人工智能自动化凭据填充,在各种网站上测试被盗的用户名和密码组合。传统的对策如速率限制无效,因为人工智能驱动的机器人可以模拟人类行为。
人工智能驱动的零日漏洞利用——攻击者利用人工智能更快地找到软件漏洞,这导致了更多的零日漏洞攻击。
安全专业人士应优先在开发过程中考虑安全性。不幸的是,在许多组织中,安全性通常是事后才考虑的事情,这是一种糟糕的做法。安全工程师和开发人员应嵌入设计并与CI/CD管道集成,强制执行自动化漏洞扫描作为发布代码到生产前的安全最佳实践。
**您提到系统可观测性是您工作的一个重点。您能解释一下这意味着什么以及为什么它对有效的监控和响应很重要吗?**
在网络安全中,可观测性超越了基本监控,提供了对系统行为和潜在安全问题的深入可见性。它结合了日志、指标和跟踪,以全面了解环境中的情况。可观测性至关重要,因为它使安全团队能够检测到可能未被察觉的复杂威胁。
通过关联来自多个来源的数据,我们可以识别出表明潜在妥协的微妙模式。例如,在我遇到的一次AI驱动的凭据填充攻击中,起初一切看似正常的流量。没有明显的峰值或暴力破解迹象。然而,在分析记录后,我们观察到奇怪的登录序列,例如同一用户以不合常理的方式从多处登录。这时我们意识到出了问题。
有效的可观测性不仅在于收集数据,还需通过自动化和分析工具使其具备可操作性,帮助安全团队快速理解和应对威胁。
**你显然非常重视培养安全人才。你觉得未来网络安全专业人士需要培养哪些技能?组织怎样才能更好地培养安全人才?**
网络安全人才培养至关重要,尤其是在威胁日益复杂的情况下。我对指导他人和分享知识充满热情,这源于我的信念:“知道得越多,收获越多;要知道自己还有太多未知,需要不断学习。”
未来的网络安全专业人士应注重技术技能与领导能力的结合。我发现三个关键特质是责任心、好奇心以及创新和简化的能力。
这意味着要对所构建的系统负全责,确保它们功能完备、可扩展且高效。在我负责威胁报告目录时,我超越了最初的范围,改进了查询性能,不断思考如何从安全工程师的需求出发,打造能带来长期价值的工具。
学习和好奇心对安全领域尤为重要,安全从业者不应停止学习,而应持续提升自我。我的好奇心驱使我引入了基于LLM的代码审查等创新方法,以提升代码检测模板的质量,从而缩短团队的审查时间。
组织可通过采纳这些原则并营造鼓励持续学习、责任感和创新的氛围来培养安全人才。
**你在将AI融入安全工作流方面有所研究。能否分享一个具体案例,介绍AI是如何改变某一安全流程的,并带来了哪些实际效果?**
我目前正在研发一种基于AI的威胁情报系统,该系统利用LLM实现威胁研究和检测开发的自动化与增强。这个系统正在改变安全团队检测和理解网络威胁的方法。
当前,一旦出现新的网络威胁,安全团队需要耗费数小时手动挖掘数据、日志或遥测信息,分析这些威胁并尝试识别模式以建立检测机制。这一手动流程耗时较长,通常需要安全工程师约8小时来分析一个威胁。
我们的AI解决方案承担了大量工作,将分析时间压缩至仅1小时。这使安全团队能够更快响应,在攻击造成重大损害前阻止它们,同时显著提升了检测开发流程的效率。
实际效果十分显著。通过加快威胁检测速度,我们观察到的数据泄露事件减少了,企业停机时间缩短,对个人和财务信息安全的更好保障得以实现。此方案还能助力防御关键基础设施免遭网络威胁。
虽然尚处初期阶段,但这种AI集成从根本上改变了网络安全团队应对日益使用AI的攻击者的方式。
**许多读者对技术领域的个人成长感兴趣。在你的职业发展中,哪些资源、社区或学习方式对你最为重要?**
我的个人成长之路始于纯粹的好奇心和动手实践。我小时候在尼日利亚长大时,很难轻易接触到电脑。正如我所说,“回想起来,小时候在尼日利亚时,只有富裕家庭的孩子才能接触电脑,更别提拥有自己的电脑了。”
这种匮乏激发了我天然的好奇心和兴趣。从小,一有机会我就尝试摆弄电脑——“我曾打开CPU盒优化内存、玩游戏,做各种能做的事。”
这种动手实践的方式,即使没有正式培训也努力解决问题,为我打下了实用知识的基础,至今仍对我大有裨益。
在我的经历中,最有价值的学习方式是基于项目的实践。当我加入NSF从事研究时,我开发了一套用于操控机器人的可编程平台,这意外地因保护这些系统的挑战让我涉足网络安全领域。
对于想要在技术领域发展的读者,我建议把握项目主导权,保持无限好奇心,并注重实际应用。正如我所体验的,最有效的学习常发生在解决实际问题时而非按部就班。
**如果你能给每家组织一条关于网络安全的忠告,无论其规模或行业如何,那会是什么?**
如果我要发起一场网络安全运动,它将以利用AI革新安全并推动全球合作为核心。关键在于单靠创新是不够的。看看这个领域的公司,不难发现一些孤岛,其中重要的威胁情报被封闭而非共享。
我的建议是,网络安全的未来不仅在于AI,更在于合作——一个开放共享的安全网络,企业和个人在此分享见解以强化我们的共同防御。
如果我要发起一场网络安全运动,它将以利用AI革新安全并推动全球合作为核心。关键在于单靠创新是不够的。为了落实这一点,我建议采取五大关键原则:
– 部署可扩展且自适应的检测系统,实时从新攻击模式中学习。
– 自动化响应流程,即时检测并应对威胁。
– 部署可扩展且自适应的检测系统,实时从新攻击模式中学习。
– 运用行为分析生成高精度警报并降低误报率。
– 在开发阶段优先考虑安全,而非作为事后补救。
– 保持持续监控并运用现实世界中的威胁情报。
记住,安全是一个持续的过程,而非一次性设置。通过结合这些原则与协作理念,任何规模的组织都能显著提升其应对日益复杂威胁的能力。
(以上内容均由Ai生成)
