多年來,我們一直在討論人工智能對社會(huì)的好處,但直到今天,人們才終于看到了它在日常生活中的影響。但為什么我們現(xiàn)在才看到?是什么變化讓 2023 年的人工智能比以前更有影響力?
(資料圖片)
首先,消費(fèi)者可以更多地接觸到新興人工智能創(chuàng)新,從而提升了接受度。從歌曲創(chuàng)作到生成圖像再到撰寫大學(xué)水平的論文,生成式人工智能已經(jīng)融入了我們的日常生活。
其次,我們在企業(yè)人工智能創(chuàng)新的成熟度曲線上也達(dá)到了一個(gè)臨界點(diǎn),尤其是在網(wǎng)絡(luò)安全行業(yè),我們更希望看到這種進(jìn)步盡快到來。
(來源:AI 生成)
總之,人工智能的普及和安全用例的增加,逐漸需要安全運(yùn)營中心(SOC,security operation centers)發(fā)揮價(jià)值,構(gòu)建實(shí)際應(yīng)用中所需的信任和效率水平。為了深入研究這一演變,讓我們仔細(xì)看看,網(wǎng)絡(luò)安全分析師將會(huì)如何使用人工智能驅(qū)動(dòng)的技術(shù)。
利用人工智能快速、精準(zhǔn)地推動(dòng)網(wǎng)絡(luò)安全
經(jīng)過用戶多年的試驗(yàn)和改進(jìn),再加上人工智能模型本身的不斷進(jìn)步,人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)安全能力不再只是早期采用者的玩具,也早已不是簡單的、基于模式和規(guī)則的工作形式。
隨著數(shù)據(jù)的爆炸式增長,數(shù)據(jù)所包含的信號(hào)和有意義的信息也在爆炸式增長。我們使用的算法已經(jīng)足夠成熟,它們可以在許多不同的用例和無偏見的原始數(shù)據(jù)中獲取信息,還能更好地將這些信息置于上下文環(huán)境中。我們終于看到了,我們多年來一直期待的人工智能所承諾的能力。
對于網(wǎng)絡(luò)安全團(tuán)隊(duì)來說,這意味著他們有能力在網(wǎng)絡(luò)防御中推動(dòng)改變游戲規(guī)則的速度和準(zhǔn)確性,最終在與黑客的對抗中獲得優(yōu)勢。網(wǎng)絡(luò)安全是一個(gè)本質(zhì)上依賴反應(yīng)速度和精度的行業(yè),這兩點(diǎn)恰好都是人工智能的內(nèi)在特征。
安全團(tuán)隊(duì)需要確切地知道在哪里尋找問題,以及查找什么問題。他們依賴于快速反應(yīng)和迅速行動(dòng)的能力。然而,在網(wǎng)絡(luò)安全領(lǐng)域,速度和精度并不能得到保證,這主要是由于困擾該行業(yè)的兩大挑戰(zhàn):技能短缺和基礎(chǔ)設(shè)施復(fù)雜性導(dǎo)致的數(shù)據(jù)爆炸。
現(xiàn)實(shí)情況是,如今從事網(wǎng)絡(luò)安全工作的有限人力,承擔(dān)著似乎永無止境的網(wǎng)絡(luò)威脅。根據(jù) IBM 的一項(xiàng)研究,網(wǎng)絡(luò)安全防御者的數(shù)量遠(yuǎn)不足攻擊者,68% 的網(wǎng)絡(luò)安全事件響應(yīng)者表示,同時(shí)應(yīng)對多個(gè)網(wǎng)絡(luò)安全事件是很常見的一件事。
企業(yè)中流動(dòng)的數(shù)據(jù)也比以往任何時(shí)候都多,而且企業(yè)也越來越復(fù)雜。邊緣計(jì)算、物聯(lián)網(wǎng)和遠(yuǎn)程需求正在改變現(xiàn)代業(yè)務(wù)架構(gòu),為安全團(tuán)隊(duì)創(chuàng)造了迷宮一樣的環(huán)境,里面充滿了盲點(diǎn)。如果這些團(tuán)隊(duì)無法“看穿”這些盲點(diǎn),那么他們就不能精確地采取安全行動(dòng)。
如今,成熟的人工智能技術(shù)可以幫助解決這些障礙。但要想發(fā)揮作用,人工智能必須贏得信任。因此,我們必須在它周圍設(shè)置護(hù)欄,確保可靠的安全結(jié)果。例如,當(dāng)你過分追求速度而超速時(shí),一個(gè)負(fù)面結(jié)果就是車輛失控,導(dǎo)致混亂。
但當(dāng)人工智能是可信的(即我們訓(xùn)練模型的數(shù)據(jù)是沒有偏見的,人工智能模型是透明的、沒有偏移的、可解釋的),它就能夠以可靠的速度運(yùn)行。當(dāng)它與自動(dòng)化相結(jié)合時(shí),就可以顯著改善我們的防御態(tài)勢。例如,在整個(gè)事件檢測、調(diào)查和響應(yīng)的生命周期中自動(dòng)采取行動(dòng),而不依賴于人為干預(yù)。
網(wǎng)絡(luò)安全團(tuán)隊(duì)的“得力助手”
人工智能在當(dāng)今網(wǎng)絡(luò)安全中常見且成熟的用例之一是威脅檢測。人工智能可以從不同的大型數(shù)據(jù)集里引入額外的背景信息,或者檢測用戶行為模式中的異常。讓我們來看一個(gè)例子:
想象一下,一名員工錯(cuò)誤地點(diǎn)擊了一封網(wǎng)絡(luò)釣魚郵件,觸發(fā)了惡意軟件下載并被安裝到了公司電腦中,從而允許黑客在受害者的系統(tǒng)環(huán)境中如入無人之境且無人發(fā)現(xiàn)。黑客會(huì)嘗試?yán)@過環(huán)境中所有的安全工具,同時(shí)尋找哪些弱點(diǎn)可以被利用。
例如,他們可能會(huì)搜索泄露的密碼或開放協(xié)議,以利用和部署勒索軟件,從而使他們能夠控制關(guān)鍵系統(tǒng),并加以敲詐。
現(xiàn)在讓我們把人工智能放在一個(gè)普通的場景中:人工智能會(huì)注意到點(diǎn)擊電子郵件的用戶的行為是不尋常的。例如,它將檢測用戶進(jìn)程中的變化,以及與那些通常無交互的系統(tǒng)的交互。
通過觀察發(fā)生的各種過程、信號(hào)和交互,人工智能將分析并將這種行為置于當(dāng)時(shí)的環(huán)境中,而靜態(tài)安全功能則無法做到這一點(diǎn)。
由于攻擊者模仿數(shù)字行為不像模仿靜態(tài)特征(如登陸憑據(jù))那么容易,因此人工智能和自動(dòng)化給防御者帶來的優(yōu)勢使這些安全功能更加強(qiáng)大。
現(xiàn)在想象一下這個(gè)案例乘以 100 或 1000,甚至是成千上萬次。因?yàn)檫@大概是一個(gè)企業(yè)在一天內(nèi)遭遇的潛在威脅的數(shù)量。當(dāng)我們將這些數(shù)字與目前平均 3 到 5 人的安全團(tuán)隊(duì)進(jìn)行比較時(shí),攻擊者的勝算自然更大。但隨著人工智能通過風(fēng)險(xiǎn)驅(qū)動(dòng)的優(yōu)先級(jí)來支持安全團(tuán)隊(duì),這些團(tuán)隊(duì)現(xiàn)在可以專注于干擾中的真正威脅。
此外,人工智能還可以幫助他們加快調(diào)查和響應(yīng)速度,例如,自動(dòng)挖掘跨系統(tǒng)數(shù)據(jù)以獲取與事件相關(guān)的其他證據(jù),或?yàn)閼?yīng)對行動(dòng)提供自動(dòng)化工作流程。
IBM 正在通過 QRadar 套件將這些人工智能功能引入其威脅檢測和響應(yīng)技術(shù)中。改變游戲規(guī)則的一個(gè)因素是,這些關(guān)鍵的人工智能功能統(tǒng)一匯集在一起,跨越所有核心安全技術(shù),使它們更容易在整個(gè)網(wǎng)絡(luò)安全事件的生命周期中使用。
此外,這些人工智能功能已經(jīng)被完善到可以信任的程度,并通過精心編排的響應(yīng)方式自動(dòng)采取行動(dòng),而無需人工干預(yù)。例如, IBM 的管理安全服務(wù)團(tuán)隊(duì)使用這些人工智能功能自動(dòng)化了 70% 的警報(bào)關(guān)閉,并在使用的第一年將其威脅管理時(shí)間進(jìn)程加快了 50% 以上。
人工智能和自動(dòng)化的結(jié)合為速度和效率帶來了實(shí)實(shí)在在的好處,這是當(dāng)今安全團(tuán)隊(duì)迫切需要的。
經(jīng)過多年的考驗(yàn),隨著人工智能的成熟,人工智能創(chuàng)新可以通過精確和快速的行動(dòng)來優(yōu)化防御者對時(shí)間的利用。在安全領(lǐng)域利用人工智能越多,它就能越快地提高安全團(tuán)隊(duì)的執(zhí)行能力,并提高網(wǎng)絡(luò)安全行業(yè)的彈性和準(zhǔn)備能力,以適應(yīng)未來的任何情況。
支持:Ren
標(biāo)簽:
