多年来,我们一直在讨论人工智能对社会的好处,但直到今天,人们才终于看到了它在日常生活中的影响。但为什么我们现在才看到?是什么变化让 2023 年的人工智能比以前更有影响力?
首先,消费者可以更多地接触到新兴人工智能创新,从而提升了接受度。从歌曲创作到生成图像再到撰写大学水平的论文,生成式人工智能已经融入了我们的日常生活。
其次,我们在企业人工智能创新的成熟度曲线上也达到了一个临界点,尤其是在网络安全行业,我们更希望看到这种进步尽快到来。
(来源:AI 生成)
总之,人工智能的普及和安全用例的增加,逐渐需要安全运营中心(SOC,security operation centers)发挥价值,构建实际应用中所需的信任和效率水平。为了深入研究这一演变,让我们仔细看看,网络安全分析师将会如何使用人工智能驱动的技术。
利用人工智能快速、精准地推动网络安全
经过用户多年的试验和改进,再加上人工智能模型本身的不断进步,人工智能驱动的网络安全能力不再只是早期采用者的玩具,也早已不是简单的、基于模式和规则的工作形式。
随着数据的爆炸式增长,数据所包含的信号和有意义的信息也在爆炸式增长。我们使用的算法已经足够成熟,它们可以在许多不同的用例和无偏见的原始数据中获取信息,还能更好地将这些信息置于上下文环境中。我们终于看到了,我们多年来一直期待的人工智能所承诺的能力。
对于网络安全团队来说,这意味着他们有能力在网络防御中推动改变游戏规则的速度和准确性,最终在与黑客的对抗中获得优势。网络安全是一个本质上依赖反应速度和精度的行业,这两点恰好都是人工智能的内在特征。
安全团队需要确切地知道在哪里寻找问题,以及查找什么问题。他们依赖于快速反应和迅速行动的能力。然而,在网络安全领域,速度和精度并不能得到保证,这主要是由于困扰该行业的两大挑战:技能短缺和基础设施复杂性导致的数据爆炸。
现实情况是,如今从事网络安全工作的有限人力,承担着似乎永无止境的网络威胁。根据 IBM 的一项研究,网络安全防御者的数量远不足攻击者,68% 的网络安全事件响应者表示,同时应对多个网络安全事件是很常见的一件事。
企业中流动的数据也比以往任何时候都多,而且企业也越来越复杂。边缘计算、物联网和远程需求正在改变现代业务架构,为安全团队创造了迷宫一样的环境,里面充满了盲点。如果这些团队无法“看穿”这些盲点,那么他们就不能精确地采取安全行动。
如今,成熟的人工智能技术可以帮助解决这些障碍。但要想发挥作用,人工智能必须赢得信任。因此,我们必须在它周围设置护栏,确保可靠的安全结果。例如,当你过分追求速度而超速时,一个负面结果就是车辆失控,导致混乱。
但当人工智能是可信的(即我们训练模型的数据是没有偏见的,人工智能模型是透明的、没有偏移的、可解释的),它就能够以可靠的速度运行。当它与自动化相结合时,就可以显著改善我们的防御态势。例如,在整个事件检测、调查和响应的生命周期中自动采取行动,而不依赖于人为干预。
网络安全团队的“得力助手”
人工智能在当今网络安全中常见且成熟的用例之一是威胁检测。人工智能可以从不同的大型数据集里引入额外的背景信息,或者检测用户行为模式中的异常。让我们来看一个例子:
想象一下,一名员工错误地点击了一封网络钓鱼邮件,触发了恶意软件下载并被安装到了公司电脑中,从而允许黑客在受害者的系统环境中如入无人之境且无人发现。黑客会尝试绕过环境中所有的安全工具,同时寻找哪些弱点可以被利用。
例如,他们可能会搜索泄露的密码或开放协议,以利用和部署勒索软件,从而使他们能够控制关键系统,并加以敲诈。
现在让我们把人工智能放在一个普通的场景中:人工智能会注意到点击电子邮件的用户的行为是不寻常的。例如,它将检测用户进程中的变化,以及与那些通常无交互的系统的交互。
通过观察发生的各种过程、信号和交互,人工智能将分析并将这种行为置于当时的环境中,而静态安全功能则无法做到这一点。
由于攻击者模仿数字行为不像模仿静态特征(如登陆凭据)那么容易,因此人工智能和自动化给防御者带来的优势使这些安全功能更加强大。
现在想象一下这个案例乘以 100 或 1000,甚至是成千上万次。因为这大概是一个企业在一天内遭遇的潜在威胁的数量。当我们将这些数字与目前平均 3 到 5 人的安全团队进行比较时,攻击者的胜算自然更大。但随着人工智能通过风险驱动的优先级来支持安全团队,这些团队现在可以专注于干扰中的真正威胁。
此外,人工智能还可以帮助他们加快调查和响应速度,例如,自动挖掘跨系统数据以获取与事件相关的其他证据,或为应对行动提供自动化工作流程。
IBM 正在通过 QRadar 套件将这些人工智能功能引入其威胁检测和响应技术中。改变游戏规则的一个因素是,这些关键的人工智能功能统一汇集在一起,跨越所有核心安全技术,使它们更容易在整个网络安全事件的生命周期中使用。
此外,这些人工智能功能已经被完善到可以信任的程度,并通过精心编排的响应方式自动采取行动,而无需人工干预。例如,IBM 的管理安全服务团队使用这些人工智能功能自动化了 70% 的警报关闭,并在使用的第一年将其威胁管理时间进程加快了 50% 以上。
人工智能和自动化的结合为速度和效率带来了实实在在的好处,这是当今安全团队迫切需要的。
经过多年的考验,随着人工智能的成熟,人工智能创新可以通过精确和快速的行动来优化防御者对时间的利用。在安全领域利用人工智能越多,它就能越快地提高安全团队的执行能力,并提高网络安全行业的弹性和准备能力,以适应未来的任何情况。
支持:Ren