Connect with us

网络安全

人工智能与人类的合作伙伴关系在EDR中:利用人工智能增强网络安全团队

mm
Published
Updated

随着网络攻击的频率和复杂性不断增加,公司难以跟上。高技能的安全团队日夜不停地努力发现和阻止数字入侵者,但这往往感觉像是一场失败的战斗。黑客似乎总是占据优势。

然而,有一丝希望的光明。人工智能技术的新浪潮可能会将优势转回防御者一方。通过使用自学习程序作为数字盟友,安全分析师可以加强他们保护公司网络和设备的努力,而无需花费大量额外的资源。

网络安全的一个分支,即终端检测和响应(EDR),人工智能正在产生重大影响。这基本上是一个针对攻击的早期预警系统,密切监视计算机、电话和其他终端,以发现潜在的网络攻击的微妙迹象。只要发现任何异常,EDR就会发出警报,以便人类专家进行调查。它甚至可以采取基本的行动,例如隔离受损的设备,以赢得时间。

但是,人工智能驱动的EDR是否会完全取代和否定人类干预的需要?简单的答案是,不。正如我们在许多人工智能应用中看到的那样,最佳结果似乎是当人工智能和人类共同工作,而不是一个取代另一个。让我们解释为什么会这样。

人工智能驱动的EDR的承诺

EDR工具已经成为识别、分析和修复跨大量设备的不断演变的攻击的重要武器。今天,许多领先的EDR平台都在利用人工智能来增强人类的能力,提高准确性和效率。

通过使用在大量威胁数据上训练的有监督机器学习算法,人工智能驱动的EDR可以:

  • 发现以前从未见过的攻击模式和行为。通过分析系统事件和比较大量数据集,人工智能可以检测人类分析师可能会错过的异常。这使您的团队能够识别和停止其他工具无法看到的隐蔽攻击。
  • 通过自动化调查提供背景。人工智能可以立即追溯事件的全部范围,扫描环境中的潜在损害迹象。这减少了分析师理解根本原因所需的繁重工作。
  • 优先处理最关键的事件。并非所有警报都需要同样的紧急程度,但是区分琐碎和严重的警报可能具有挑战性。人工智能评估突出最危险的威胁,以便将宝贵的人类注意力集中在上面。
  • 根据每次攻击推荐最佳响应。根据恶意软件的特点、利用的漏洞等,人工智能建议最佳的遏制和修复措施,以精确地消除威胁。

人工智能增强使分析师能够更聪明、更快地工作,通过处理威胁检测、调查和建议中的大部分繁重工作。然而,人类的专业知识和批判性思维仍然是连接点的关键。

人类的元素:判断、创造力、直觉

虽然人工智能擅长处理数据,但人类分析师为终端防御带来了机器所缺乏的关键优势。人类提供了三个关键能力:

平衡评估

人工智能有时会将无害的事件标记为可疑的,导致虚假警报,或者它可能会错过真正的威胁。但是,人类专家可以使用他们的经验和良好的判断力来评估人工智能的发现。例如,如果系统错误地将正常的软件更新标记为恶意的,分析师可以检查并纠正错误,避免不必要的中断。这一平衡的人类评估可以实现更准确的威胁检测。

创造性问题解决

攻击者不断修改他们的恶意软件,以躲避人工智能系统,这些系统通常被调整为发现已知的威胁。但是,人类分析师可以跳出思维定式,根据代码中的小异常识别新的或微妙的威胁。当黑客改变他们的策略时,分析师可以根据代码中的微小异常创建新的检测规则,这些规则对于机器来说很难发现。

看到更大的图景

保护复杂的网络意味着考虑到许多不断变化的因素,算法无法完全考虑到这些因素。在复杂攻击的中间,人类的判断力变得至关重要,以做出高风险的决定,例如是否隔离系统或谈判赎金。虽然人工智能可以提出选项,但人类的视角仍然需要指导响应并最小化业务影响。

人类的洞察力和人工智能共同组成了一个强大的防御系统,可以捕捉到其他系统可能会错过的高级网络攻击。人工智能快速处理数据,而人类的推理填补了空白。共同努力,人类和人工智能加强了终端保护。

优化人工智能安全团队

以下是一些提示,帮助您充分利用人工智能增强的EDR和人类主导的团队:

  • 相信但验证人工智能评估。利用人工智能检测快速范围事件,但在采取行动之前通过手动狩猎验证发现。不要盲目信任每个警报。
  • 使用人工智能来专注于人类的专业知识。让人工智能处理重复的任务,例如监视终端和收集威胁详细信息,以便分析师可以将精力投入到更高价值的努力中,例如战略响应规划和主动狩猎。
  • 提供反馈以改进人工智能模型随着时间的推移。将人类验证返回到系统中——确认真实/假阳性——允许算法自我纠正以变得更加准确。人工智能从人类的智慧中学习随着时间的推移。
  • 每天与人工智能合作。分析师和人工智能合作得越多,双方就能学习得越多,提高技能和性能。每日使用会积累知识。

就像网络攻击者利用自动化和人工智能进行攻击一样,防御者必须用人工智能武器进行反击。由人工智能和人类智能提供支持的终端安全为保护我们的数字世界提供了最好的希望。

当人类和机器结合力量,发挥互补的能力,以智取和智胜任何对手时,没有什么是我们无法共同实现的。网络安全的未来已经到来——这是人类和人工智能的合作伙伴关系。

采用人工智能增强的EDR的挑战

为安全监控实施人工智能听起来很棒。但是,对于已经人手不足的团队来说,实际操作可能会很混乱。人们面临着各种障碍,从理解工具的思维方式到防止警报疲劳等。

警报疲劳。

复杂性

使用EDR工具的安全分析师并不总是工程师。因此,期望他们直观地理解置信区间、精度率、模型优化和其他机器学习概念,这是一个很高的要求。没有用通俗的语言解释这些概念的培训,人工智能的功能将无法用于捕捉坏人。

被虚假警报淹没

在早期,尤其是,一些人工智能工具过度标记了威胁。突然,分析师开始被每周数百个低置信度的警报淹没——其中很多是虚假的。这使得关键信号被噪音淹没。感到不知所措,许多团队可能会完全忽略警报。工具需要被优化和微调,以便在敏感度之间取得平衡。

黑盒工具

神经网络的工作方式就像黑盒。由于风险评分和建议背后的理由保持不透明,员工很难相信自动系统来做出决定。为了获得人类同事的信任,人工智能需要让他们足够地窥视其内部工作原理,以了解其推理——但这并不是当前技术总能做到的。

不仅仅是一个魔术子弹

仅仅引入新的人工智能工具是不够的。为了充分利用技术,安全团队必须改进他们的流程、技能、政策、指标和甚至文化规范,以使其与人工智能保持一致。部署人工智能作为一个即插即用的包,而没有真正进化组织,将会锁住所有的潜力。

最后的话

人工智能正在带来一系列令人兴奋的工具和防御措施来对抗网络安全威胁。虽然这是一个好消息,但大部分潜力将保持不变,直到人工智能和人类团队能够和谐地合作,发挥各自的优势。EDR是网络安全的一个领域,特别依赖于机器智能和人类专业知识之间的顺畅合作伙伴关系。

当然,双方都存在学习曲线。人工智能系统需要更好地以人类同事可以理解和采取行动的透明方式传达其内部逻辑。清除早期预警系统中的信号与噪音问题也将有助于防止分析师疲劳和忽略警报。

Related Topics:
mm

David Balaban 是一位拥有超过 17 年恶意软件分析和防病毒软件评估经验的计算机安全研究员。David 运营着 MacSecurity.net Privacy-PC.com 项目,这些项目提供了有关当代信息安全问题的专家意见,包括社会工程、恶意软件、渗透测试、威胁情报、在线隐私和白帽黑客。David 拥有强大的恶意软件故障排除背景,最近专注于勒索软件的对策。