AI 和自動化的結合為網絡安全帶來了實實在在的好處
撰文:Sridhar Muppidi,IBM 研究員兼IBM 安全部門首席技術官
來源:MIT
多年來,我們一直在爭論人工智能(AI)對社會的好處,但直到現在,人們才終於可以看到它的日常影響。但為什麼是現在?是什麼讓2023 年的人工智能比以往有著更大的影響?
首先,消費者對新興人工智能創新的接觸增加了接受度。從以前只能想像的歌曲創作和圖像合成,到撰寫大學水平的論文,生成式人工智能已經進入我們的日常生活。其次,我們也已經達到了企業AI 創新成熟度曲線的轉折點——在網絡安全行業,這種進步還可以來的再快些。
人工智能的消費化和其在安全領域的應用正在創造其在安全操作中心(SOCs)產生實際影響所需的信任和效力水平。為了進一步了解這一演變,讓我們仔細看看人工智能驅動的技術是如何進入網絡安全分析師的手中的。
通過人工智能推動網絡安全的速度和精度
經過多年來對現實世界用戶的試驗和完善,再加上人工智能模型本身的不斷進步,AI 驅動的網絡安全能力已不再只是早期採用者的流行語,或簡單的基於模式和規則的能力。數據已經爆炸性增長,信號和獨到的見解也是如此。算法已經成熟,並且能夠更好地將攝入的所有信息進行上下文處理– 從不同的用例到無偏見的原始數據。這些年來,我們一直在等待人工智能的承諾到來。
對於網絡安全團隊來說,這意味著他們有能力在他們的防禦中推動改變遊戲規則的速度和準確性——也許,最終,在與網絡罪犯的對抗中獲得優勢。網絡安全是一個本質上依賴於速度和精度的行業,這兩者都是人工智能的內在特徵。安全團隊需要確切地知道在哪裡查找以及查找什麼。他們依賴於迅速行動的能力。然而,在網絡安全領域,速度和精度是無法保證的,主要受到該行業的兩個挑戰困擾:技能短缺、以及基礎設施的複雜性導致的數據爆炸。
現實情況是,如今從事網絡安全工作的有限人員承擔著無限的網絡威脅。根據IBM 的一項研究,防御者的數量遠遠超過網絡安全事件的響應者——68% 的網絡安全事件響應者表示,同時應對多個事件是很常見的。此外,流經企業的數據也比以往任何時候都多,而且企業也越來越複雜。邊緣計算、物聯網和遠程需求正在改變現代商業架構,為安全團隊創造了帶著重大盲點的迷宮。如果這些團隊不能“看到”,那麼他們的安全行動就無法精確。
如今成熟的人工智能可以幫助解決這些障礙。但要想發揮作用,人工智能必須贏得信任——因此,我們必須在它周圍設置護欄,確保可靠的安全結果。例如,當你為了速度而超速時,結果是速度失控,導致混亂。但是,當人工智能被信任時(即,我們訓練模型的數據沒有偏見,人工智能模型是透明的,沒有便宜,並且可以解釋),它可以推動可靠的速度。當它與自動化相結合時,它可以大大改善我們的防禦態勢– 在整個事件檢測、調查和響應的生命週期中自動採取行動,而不依賴人類的干預。
網絡安全團隊的“得力助手”
今天,網絡安全領域的一個常見和成熟的用例是威脅檢測,人工智能從大型和不同的數據集中帶來額外的背景,或檢測用戶行為模式的異常情況。讓我們看一個例子:
想像一下,一個員工錯誤地點擊了一封釣魚郵件,觸發了一個惡意的下載到他們的系統中,從而允許威脅行為者在受害者環境中橫向移動並隱身操作。該威脅行為者試圖繞過環境中現有的所有安全工具,同時尋找可貨幣化的弱點。例如,他們可能正在尋找被破壞的密碼或開放的協議,以利用和部署勒索軟件,使他們能夠抓住關鍵系統作為打擊企業的籌碼。
現在讓我們將AI 置於這個普遍場景之上:AI 會注意到點擊該電子郵件的用戶的行為現在有所不同。例如,它會檢測用戶流程的變化,以及它與通常不與之交互的系統的交互。查看發生的各種過程、信號和交互,AI 將分析此行為並將其置於上下文中,而靜態安全功能則不能。
因為威脅者不能像模仿靜態特徵(如某人的證書)那樣輕易地模仿數字行為,所以人工智能和自動化給防御者帶來的行為優勢使這些安全能力更加強大。
現在想像一下這個例子乘以一百,或一千,或者幾萬和幾十萬,因為這大概是一個特定企業在一天中面臨的潛在威脅的數量。當你把這些數字與今天平均由3 至5 人組成的SOC 團隊進行比較時,攻擊者自然會佔優勢。但是,隨著人工智能通過風險驅動的優先級支持SOC 團隊,這些團隊現在可以專注於噪音中的真正威脅。此外,人工智能還可以幫助他們加快調查和響應– 例如,自動挖掘跨系統的數據,尋找與事件有關的其他證據,或為響應行動提供自動工作流程。
IBM 正在通過QRadar 套件將諸如這些AI 功能原生地引入其威脅檢測和響應技術。改變遊戲規則的一個因素是,這些關鍵的人工智能功能現在通過統一的分析經驗匯集在一起,跨越所有核心SOC 技術,使它們更容易在整個事件生命週期中使用。此外,這些人工智能功能已被完善到可以信任並通過協調響應自動採取行動,無需人工干預。例如,IBM 的安全管理服務團隊使用這些人工智能功能,在使用的第一年內自動關閉了70% 的警報,並將他們的威脅管理時間線加快了50% 以上。
人工智能和自動化的結合為速度和效率帶來了實實在在的好處,而這正是今天的SOC 所迫切需要的。經過多年的測試,隨著其成熟度的提高,人工智能創新可以通過精確和加速行動來優化防御者的時間使用。人工智能在整個安全領域被利用得越多,它就會越快地推動安全團隊的執行能力以及網絡安全行業的彈性,並準備好適應未來的任何情況。
展開全文打開碳鏈價值APP 查看更多精彩資訊
