人工智能/机器学习在安全环境中的价值
不靠铺天盖地的宣传,坚持用实力说话
在 IT 安全领域,如今随时可以听到人工智能 (AI) 和机器学习 (ML) 这两个术语,这是因为企业 和攻击者都在试图利用这些技术进步实现目标。恶意攻击者的目标是为了更快地突破防线,找到 漏洞。但是,当您在努力保护企业安全时,AI 和 ML 能提供什么价值呢?
如果说这些技术本身就能终结威胁,保障网络安全,而只需采用这些技术,您的企业就会得到全面的保护,那就太 好了。但事实并非如此简单。人们对 AI 和 ML 的使用并不均衡,也不是所有人都会使用最新的算法,这是您需要 提前知晓的。
但是,为了跟上当今威胁形式的发展速度,应对这些威胁带来的种种挑战,我们需要将 AI 和 ML 纳入整体安全解 决方案,并将精力重点放在防御各类攻击的最终结果上,尽快响应那些无法防御的攻击。
仅凭 AI 无法做到
人工智能本身并不是安全与不安全的分水岭。事实上,我们如今常用的 AI 框架和模型有许多不同种类。通常来 说,这些框架来自学术界,并且具有开源特性,适合所有人进行公开部署。因此,使用 AI 框架并不能让情况发生 改变。真正能够发挥作用的是人们如何使用 AI,以及为 AI 提供了哪些数据供其学习。
哪些因素让 AI 在保障网络安全方面效果更好、智能度更高?
无论目的如何,通过机器学习方式学习如何采取行动的 AI 都需要获取尽可能多的高质量数据才能发挥作用。只有 依托大量的优质数据,AI 才能对一些可能的场景有所了解。AI 获取的真实数据越多,就会变得越智能,可以利用 的经验也就越丰富。
因此,请从网络安全的角度思考这项技术。单纯从一种部署或威胁载体中学习是不够的。我们需要的是从所有部署 中学习的解决方案,以及利用所有用户信息的工具,而不是只利用一个企业信息的工具。环境和用户池越大,AI 就越智能。为此,您还需要一个能够处理大量数据和不同类型数据的系统。
AI 不仅仅是简单地用电脑做数学计算。虽然数据是促使 AI 发挥作用的关键组成部分,但我们还需将 AI 和 ML 本 身融入到操作流程中。人们不应将 AI 和 ML 视为独立技术,而应将其视为给安全流程和运营带来价值的使能 技术。
最成功的 AI 技术是将机器学习的大规模统计模式匹配与学习相结合,同时利用集成网域知识等的其他技术,从而 提供混合系统的一种技术。仅来自 ML 的统计技术通常无法适应新开发的、以前未知的威胁。根据定义,这些威 胁几乎没有与之相关的基线统计数据。同样,人们可以利用网域专业知识创建逻辑(通常部分来自大规模的数据分析),这些逻辑可有效预防和检测特定的攻击者战术和技术。但是,使用专家系统汇总这些洞察数据会导致跨部署 的错误率出现失衡和偏斜。我们需要的是这样一种 AI 系统,它使用来自 ML 的统计洞察数据,以及来自系统其他 部分的网域驱动洞察数据,这样便可普遍用于应对新攻击,同时针对所有平台保持一致性和较低的错误率。
AI 和 ML 为网络安全提供的真正价值
从根本上说,在企业安全方面充分利用 AI 和 ML 可起到事半功倍的效果,能够让安全运营中心 (SOC) 用更少的人 员投入获得更高的效率。这就好比一个放大系数,可以增强企业的能力,让分析人员的技能有真正的用武之地,以 便充分发挥他们的经验。
AI 和 ML 在安全领域的一个常见用例是帮助建立常规操作的基准线,然后提醒团队注意潜在的异常情况。我们还 可以使用 AI 和 ML 识别出更多人们一直在执行的日常任务,以此提高运营效率。该技术可创建或建议自动化剧 本,从而节省时间和资源。
AI 和 ML 还有助于为自动化提供信息和动力,这是在人员和资源始终受限的环境中实现可扩展性的关键。如今, 每个 SOC 都需要以更少的人员应对更多、更复杂的威胁。归根结底,AI 和 ML 的目标是以一种快速利用非常稀缺 资源的方式来帮助提供良好的安全成果。