为了保护人们，我们需要另一种类型的机器学习

 
尽管有成千上万的网络安全产品，但数据泄露的历史最高记录。原因?几十年来，企业一直专注于保护机器层，即在其网络，设备以及最终的云应用程序之上分层防御。但是，这些措施并没有解决最大的安全问题-组织自己的员工。
传统的机器学习方法无法检测机器层的威胁，因此无法解决随着时间推移企业之间人际关系和行为的复杂性。没有“状态”的概念，它是使人层安全问题变得如此复杂的附加变量。这就是为什么“状态机器学习”模型对安全堆栈至关重要的原因。
人事问题
如今，人们对公司数据和系统的控制比以往任何时候都要多。只需单击几下，员工就可以将数千美元转移到银行帐户，或通过电子邮件在一个Excel文件中发送50,000条患者记录。难以置信的微小错误余量决定了这些交互最终是照常进行还是完全灾难，这就是为什么这么多数据泄露是人为错误造成的。
问题在于人们会犯错误，违反规则并且容易被黑客入侵。当面对繁重的工作量，持续的干扰和日程安排使我们不停地开会到开会时，我们很少会想到网络安全。在压力时刻，我们在网络安全培训中所教的事情就消失了。但是一个错误可能导致某人与错误的人共享敏感数据，或者成为网络钓鱼攻击的受害者。
保护人员层特别具有挑战性，因为没有两个人是同一个人。我们每个人都以自然语言而非静态机器协议进行不同的交流。而且，我们的关系和行为会随着时间而改变。我们建立新的联系或承担项目。这些复杂性使解决人层安全性问题比解决机器层的安全性困难得多，因为我们根本无法使用“先有先后”的逻辑来整理人的行为。
时间因素
我们可以使用机器学习来识别正常的模式和信号，从而使我们能够实时检测异常情况。该技术使企业比以往任何时候都可以更快，更准确地检测到机器层的攻击。
其中一个示例是检测恶意行为者何时部署了恶意软件来攻击公司的网络和系统。通过将计算机程序中的字节序列输入到机器学习模型中，可以预测以前看到的恶意软件攻击是否具有足够的通用性，同时可以成功忽略攻击者使用的任何混淆技术。像机器层上许多其他威胁检测问题领域一样，由于恶意软件的性质，这种机器学习的应用可以说是“标准的”：恶意软件程序将永远是恶意软件。
但是，人类行为会随着时间而改变。因此，要解决人为错误造成的数据泄露威胁，就需要状态机器学习。
考虑一个示例，该示例试图检测并防止由于员工意外向错误的人发送电子邮件而导致的数据丢失。这看似无害，但错误发送电子邮件是2019年向监管机构报告的在线数据泄露的主要原因。这仅是一个笨拙的错误，例如将错误的人添加到电子邮件链中，以致数据泄漏。而且它发生的频率超出您的想象。在拥有10,000多名工人的组织中，员工每周总共向错误的人发送大约130封电子邮件。每年有7,000多次数据泄露。
例如，名为Jane的员工向其客户Eva发送了一封电子邮件，主题为“项目更新”。要准确预测此电子邮件是发给Eva还是被误发送，我们需要了解-在那一刻的确切时间— Jane与Eva关系的本质。他们通常讨论什么，以及他们通常如何交流?我们还需要了解Jane的其他电子邮件关系，以查看是否有适合此电子邮件的预期收件人。到目前为止，我们基本上需要了解Jane的所有历史电子邮件关系。
现在，让我们说Jane和Eva正在进行的是六个月前结束的项目。 Jane最近开始与另一个客户Evan一起进行另一个项目。她只是碰巧发送了一封偶然发给Eva的电子邮件，这将导致与Eva(而不是Evan)共享机密信息。六个月前，我们的状态模型可能已经预测到发给Eva的“项目更新”电子邮件看起来很正常。但是现在它将电子邮件视为异常，并预测正确和预期的收件人是Evan。了解“状态”或确切的时间是绝对关键的。
为什么要进行有状态的机器学习?
对于“标准”机器学习问题，您可以将原始数据直接输入模型，就像恶意软件示例中的字节序列一样，它可以生成自己的功能并做出预测。如前所述，机器学习的这种应用对于帮助企业快速，准确地检测到机器层上的威胁(如恶意程序或欺诈活动)具有无价的作用。
但是，当人们使用诸如电子邮件之类的数字界面时，最复杂，最危险的威胁发生在人的层面上。例如，要预测员工是要泄漏敏感数据还是要确定他们是否已收到来自可疑发件人的邮件，我们不能简单地将原始电子邮件数据提供给模型。它无法理解个人电子邮件历史记录中的状态或上下文。
借助状态机器学习，我们可以查看每位员工的历史电子邮件数据集，并通过汇总到该时刻之前的所有相关数据点来计算重要功能。然后，我们可以将它们传递到机器学习模型中。时间变量使这项任务变得轻而易举。现在，需要在模型本身之外计算特征，这需要大量的工程基础架构和大量的计算能力，尤其是在需要实时进行预测的情况下。但是，如果不采用这种类型的机器学习，则意味着您将永远无法真正保护您的员工或他们访问的敏感数据。
人员是不可预测的且容易出错，培训和政策不会改变这个简单的事实。随着员工继续控制和共享更敏感的公司数据，企业需要一种更健壮，以人为本的网络安全方法。他们需要先进的技术来了解个人的关系和行为随时间的变化，以便有效地检测和预防人为错误造成的威胁。