Connect with us

网络安全

网络安全的未来:AI、自动化和人为因素

mm
Published
Updated

在过去的十年中,随着信息技术的爆发性增长,网络安全威胁的黑暗现实也发生了戏剧性的变化。网络攻击曾经主要由寻求名声或经济利益的恶作剧黑客驱动,现在变得更加复杂和有针对性。从国家赞助的间谍活动到企业和身份盗窃,网络犯罪背后的动机变得越来越险恶和危险。即使经济利益仍然是网络犯罪的一个重要原因,但它已经被偷窃关键数据和资产的更险恶的目标所掩盖。网络攻击者大量利用尖端技术,包括人工智能,来渗透系统并进行恶意活动。在美国,联邦调查局(FBI)报告称,2022年有超过80万份与网络犯罪相关的投诉被提交,总损失超过100亿美元,超过2021年的69亿美元,根据该局的互联网犯罪投诉中心。

随着威胁格局的迅速演变,是时候让组织采用多管齐下的网络安全方法了。这种方法应该解决攻击者如何获得进入;防止初始损害;迅速检测入侵;并实现快速响应和补救。保护数字资产需要利用人工智能和自动化的力量,同时确保熟练的人类分析师仍然是安全态势的重要组成部分。

保护一个组织需要一个多层次的策略,考虑到对手使用的各种入口点和攻击向量。广泛来说,这些可以分为四个主要类别:1)网络和网络攻击;2)用户行为和基于身份的攻击;3)针对云和混合环境的实体攻击;和4)恶意软件,包括勒索软件,高级持续威胁和其他恶意代码。

利用AI和自动化

部署针对每个攻击类别的AI和机器学习(ML)模型对于主动威胁检测和预防至关重要。对于网络和网络攻击,模型必须实时识别诸如钓鱼,浏览器利用和分布式拒绝服务(DDoS)攻击等威胁。用户和实体行为分析利用AI可以发现异常活动,表明账户损害或系统资源和数据的滥用。最后,AI驱动的恶意软件分析可以快速识别新型恶意软件,确定恶意行为,并减轻基于文件的威胁的影响。通过在此攻击表面的整个范围内实施AI和ML模型,组织可以显著增强其识别攻击的能力,在攻击升级为全面事件之前。

一旦AI/ML模型在各个攻击向量中识别出潜在的威胁活动,组织面临另一个关键挑战——理解频繁的警报并将关键事件与噪音区分开来。有这么多数据点和检测结果,应用另一个AI/ML层来关联和优先处理最严重的警报以便进一步调查和响应变得至关重要。警报疲劳是一个越来越关键的问题,需要解决。

AI可以在此警报分类过程中发挥关键作用,通过摄取和分析大量安全遥测数据,融合来自多个检测源(包括威胁情报)的见解,并仅显示最高保真度事件以供响应。这减轻了人类分析师的负担,他们否则会被广泛的假阳性和低保真度警报淹没,这些警报缺乏足够的上下文来确定严重性和下一步骤。

尽管威胁行为者一直在积极部署AI来驱动攻击,如DDoS,定向钓鱼和勒索软件,但防御方在AI采用方面一直落后。然而,这种情况正在迅速改变,因为安全供应商正在竞相开发能够检测和阻止这些AI驱动威胁的高级AI/ML模型。

防御性AI的未来在于部署专门针对特定攻击类型和用例的较小语言模型,而不是仅依赖大型生成性AI模型。相比之下,大型语言模型在网络安全操作中显示出更多的希望,例如自动化帮助台功能,检索标准操作程序,并协助人类分析师。精确的威胁检测和预防的重头戏将由高度专门化的小型AI/ML模型来完成。

人为因素的作用

利用AI/ML和流程自动化来实现快速补救和遏制已验证威胁至关重要。在这一阶段,配备了高置信度事件,AI系统可以启动针对每个特定攻击类型的自动化播放书响应——阻止恶意IP,隔离受损主机,执行自适应策略等。然而,人类专业知识仍然至关重要,验证AI输出,应用批判性思维,并监督自动化响应操作,以确保在不破坏业务的情况下提供保护。

细致入微的理解是人类带来的东西。分析新的和复杂的恶意软件威胁需要创造力和解决问题的技能,这些可能超出了机器的能力。

人类专业知识在几个关键领域至关重要:

  • 验证和上下文化:AI系统,尽管其复杂性,但有时会生成假阳性或误解数据。人类分析师需要验证AI输出并提供AI可能忽略的必要上下文。这确保响应是适当和成比例的实际威胁。
  • 复杂威胁调查:一些威胁太复杂,无法让AI单独处理。人类专家可以更深入地研究这些事件,利用他们的经验和直觉来发现AI可能忽略的威胁的隐藏方面。这一人类洞察对于理解复杂攻击的全部范围和制定有效的对策至关重要。
  • 战略决策:虽然AI可以处理例行任务和数据处理,但关于整体安全态势和长期防御战略的战略决策需要人类判断。专家可以解释AI生成的见解,以便就资源分配,政策更改和战略计划做出明智的决定。
  • 持续改进:人类分析师通过提供反馈和训练数据为AI系统的持续改进做出贡献。他们的见解有助于完善AI算法,使其随着时间的推移变得更加准确和有效。这一人类专业知识和AI之间的共生关系确保两者都随着时间的推移而演变,以应对新出现的威胁。

优化的人机协作

在这一转变背后,是对能够从历史数据(监督学习)中学习并通过无监督/强化学习方法持续适应以检测新型攻击的AI系统的需求。将这些方法结合起来将是保持领先于攻击者不断演变的AI能力的关键。

总体而言,AI将对扩大检测和响应能力至关重要。人类专业知识必须紧密集成以调查复杂威胁,审计AI系统输出,并指导战略防御战略。优化的人机协作模型是理想的未来。

随着大量安全数据随时间积累,组织可以将AI分析应用于这些遥测数据,以推导出主动威胁狩猎和加强防御的见解。从以前的事件中持续学习可以预测新的攻击模式。随着AI能力的进步,针对特定安全用例的较小和专用语言模型的作用将会增长。这些模型可以通过精确分类最重要的警报以供人类分析来进一步减少“警报疲劳”。由AI驱动的自动响应也可以扩展以处理更多的1级安全任务。

然而,人类的判断和批判性思维将仍然是不可或缺的,尤其是对于高严重性事件。毫无疑问,未来是优化的人机协作,在这种协作中,AI处理大量数据处理和例行任务,使人类专家能够专注于调查复杂威胁和高层安全战略。

mm

Anand Naik, Co-founder 和 CEO, Sequretek, 已在企业界工作超过 25 年,曾在 Symantec 任南亚地区的 MD,并曾在 IBM 和 Sun Microsystems 担任技术职务。 Anand 是网络安全领域的专家,他曾帮助多家全球巨头定义他们的 IT 安全战略、架构和执行模型。他是网络安全领域的顶级思想领袖,并曾参与印度政府和其他行业机构的各种政策项目。他负责 Sequretek 的产品愿景和运营。