网络安全

网络安全的未来:AI、自动化和人类因素

mm

在过去的十年中,信息技术的爆炸式增长也使得网络安全威胁的黑暗现实发生了戏剧性的变化。网络攻击,从最初主要由寻求名声或经济利益的黑客驱动,已经变得更加复杂和有针对性。从国家赞助的间谍活动到企业和身份盗窃,网络犯罪的动机变得更加险恶和危险。即使经济利益仍然是网络犯罪的一个重要原因,但它已经被窃取关键数据和资产的更险恶的目标所掩盖。网络攻击者广泛利用尖端技术,包括人工智能,来渗透系统并实施恶意活动。在美国,联邦调查局(FBI)报告称,2022年收到超过80万份与网络犯罪相关的投诉,损失超过100亿美元,远远超过2021年的69亿美元,根据该局的互联网犯罪投诉中心的数据。

随着威胁格局的快速演变,组织需要采用多管齐下的方法来应对网络安全。这种方法应该解决攻击者如何进入系统、如何防止初始损害、如何快速检测入侵以及如何快速响应和补救。保护数字资产需要利用人工智能和自动化的力量,同时确保熟练的人类分析师仍然是安全态势的重要组成部分。

保护一个组织需要一个多层次的策略,考虑到对手使用的各种入口点和攻击向量。这些入口点和攻击向量大致可以分为四个主要类别:1)网络和网络攻击;2)用户行为和基于身份的攻击;3)针对云和混合环境的实体攻击;以及4)恶意软件,包括勒索软件、先进的持续威胁和其他恶意代码。

利用AI和自动化

部署针对每个攻击类别的AI和机器学习(ML)模型对于主动威胁检测和预防至关重要。对于网络和网络攻击,模型必须能够实时识别诸如钓鱼、浏览器利用和分布式拒绝服务(DDoS)攻击等威胁。利用AI的用户和实体行为分析可以识别出可能表明账户泄露或系统资源和数据滥用的异常活动。最后,AI驱动的恶意软件分析可以快速识别新型恶意软件,确定恶意行为,并减轻基于文件的威胁的影响。通过在这些攻击表面上实施AI和ML模型,组织可以显著提高其识别攻击的能力,并在攻击升级为严重事件之前采取行动。

一旦AI/ML模型识别出潜在的威胁活动,组织面临着另一个关键挑战,即理解频繁的警报并将关键事件与噪音区分开来。由于生成的数据点和检测结果太多,应用另一个AI/ML层来关联和优先处理最严重的警报以便进一步调查和响应变得至关重要。警报疲劳是一个日益重要的问题,需要解决。

AI可以在警报分类过程中发挥关键作用,通过摄取和分析大量的安全遥测数据,整合来自多个检测源(包括威胁情报)的见解,并仅显示高保真度事件以便响应。这减轻了人类分析师的负担,他们原本会被广泛的假阳性和低保真度警报淹没,这些警报缺乏足够的上下文来确定严重程度和下一步骤。

尽管威胁行为者一直在积极部署AI来驱动攻击,如DDoS、有针对性的钓鱼和勒索软件,但防御方在AI采用方面一直落后。然而,这种情况正在迅速改变,因为安全供应商正在争相开发能够检测和阻止这些AI驱动威胁的高级AI/ML模型。

防御AI的未来在于部署专门的小型语言模型,针对特定的攻击类型和用例,而不是仅仅依赖大型生成AI模型。另一方面,大型语言模型对网络安全运营(如自动化帮助台功能、检索标准操作程序和支持人类分析师)更有前途。精确威胁检测和预防的重任将由高度专门的小型AI/ML模型来承担。

人类专业知识的作用

利用AI/ML和流程自动化来实现快速补救和遏制已验证威胁的能力至关重要。在这一阶段,配备了高置信度事件,AI系统可以启动针对每个特定攻击类型的自动化响应——阻止恶意IP,隔离受损主机,执行自适应策略等。然而,人类专业知识仍然至关重要,验证AI输出,应用批判性思维,并监督自动化响应行动,以确保在不中断业务的情况下提供保护。

细致的理解是人类带来的东西。另外,分析新的和复杂的恶意软件威胁需要创造力和解决问题的技能,这些可能超出了机器的能力。

人类专业知识在几个关键领域至关重要:

  • 验证和上下文化:尽管AI系统非常先进,但有时会生成假阳性或误解数据。人类分析师需要验证AI输出并提供AI可能忽略的必要上下文。这确保响应是适当的,并与实际威胁成比例。
  • 复杂威胁调查:有些威胁太复杂,AI无法单独处理。人类专家可以深入研究这些事件,利用他们的经验和直觉来揭示AI可能忽略的威胁的隐藏方面。这一人类洞察力对于理解复杂攻击的全部范围和制定有效的对策至关重要。
  • 战略决策:虽然AI可以处理例行任务和数据处理,但关于整体安全态势和长期防御战略的战略决策需要人类判断。专家可以解释AI生成的见解以就资源分配、政策变化和战略计划做出明智的决定。
  • 持续改进:人类分析师通过提供反馈和训练数据为AI系统的持续改进做出贡献。他们的见解有助于完善AI算法,使其随着时间的推移变得更加准确和有效。这一人类专业知识和AI之间的共生关系确保两者都在一起演化以应对新出现的威胁。

优化的人机协作

这一转变的基础是需要能够从历史数据(监督学习)中学习并通过无监督/强化学习方法持续适应以检测新型攻击的AI系统。将这些方法结合起来将是保持领先于攻击者不断演变的AI能力的关键。

总体而言,AI将在扩大检测和响应能力方面发挥至关重要的作用。人类专业知识必须紧密集成以调查复杂威胁、审计AI系统输出并指导战略防御战略。优化的人机协作模型是未来的理想选择。

随着大量安全数据随时间积累,组织可以应用AI分析来从这些遥测数据中获取见解,以进行主动威胁狩猎和加强防御。从以前的事件中持续学习可以预测新的攻击模式。随着AI能力的进步,针对特定安全用例的小型和专用语言模型的作用将会增长。这些模型可以通过精确分类最重要的警报以供人类分析来进一步减少“警报疲劳”。由AI驱动的自动响应还可以扩展以处理更多的1级安全任务。

然而,人类的判断和批判性思维将在高严重性事件中仍然至关重要。毫无疑问,未来是优化的人机协作,AI处理大量数据处理和例行任务,允许人类专家专注于调查复杂威胁和高层安全战略。

Anand Naik,Sequretek 联合创始人兼 CEO,在企业界工作超过 25 年,曾在 Symantec 任南亚地区总监,并在 IBM 和 Sun Microsystems 担任技术职务。Anand 是网络安全领域的专家,曾帮助多家全球巨头定义其 IT 安全战略、架构和执行模型。他是网络安全领域的顶级思想领袖,曾参与印度政府和其他行业组织的各种政策计划。他负责 Sequretek 的产品愿景和运营。