网络安全

人工智能增强的EDR与人工智能合作:增强网络安全团队

mm
发布于
更新于

随着网络攻击的频率和复杂性不断增加,公司难以跟上。高技能的安全团队日夜不停地工作,以发现和阻止数字入侵者,但这往往感觉像是一场失败的战斗。黑客似乎总是占据优势。

然而,有一丝希望。人工智能技术的新浪潮可能会将优势转回防御者一方。通过使用自学习程序作为数字盟友,安全分析师可以加强他们保护公司网络和设备的努力,而无需花费大量额外的资源。

网络安全的一个领域是端点检测和响应(EDR),人工智能正在产生重大影响。这本质上是对攻击的早期警告系统,密切监视计算机、电话和其他端点,以发现潜在的网络攻击的微妙迹象。只要发现任何异常,EDR就会发出警报,以便人类专家可以进行调查。它甚至可以采取基本的行动,例如隔离受损设备,以便争取时间。

但是,人工智能增强的EDR是否会完全取代人类干预的需要?简单的答案是,不。正如我们在许多人工智能应用中看到的,最佳结果似乎是当人工智能和人类共同工作,而不是一方取代另一方。让我们来分析为什么会这样。

人工智能增强的EDR的承诺

EDR工具已经成为识别、分析和修复不断演变的攻击的关键武器。今天,许多领先的EDR平台都在利用人工智能来增强人类的能力,提高准确性和效率。

通过使用在大量威胁数据上训练的监督机器学习算法,人工智能增强的EDR可以:

  • 发现从未见过的攻击模式和行为。通过分析系统事件和比较大量数据,人工智能可以检测人类分析师可能会错过的异常。这使您的团队能够识别和阻止其他工具无法看到的隐蔽攻击。
  • 提供自动化调查的上下文。人工智能可以立即追溯事件的全部范围,扫描环境中的漏洞迹象。这减少了分析师理解根本原因所需的繁重工作。
  • 优先处理最关键的事件。并非所有警报都需要同等程度的紧急性,但区分琐碎和严重的事件可能具有挑战性。人工智能评估突出最危险的威胁,以便专注于宝贵的人类注意力。
  • 根据每次攻击推荐最佳响应。基于恶意软件的特点、利用的漏洞等,人工智能建议最佳的遏制和修复措施,以外科手术的精确度消除威胁。

人工智能增强允许分析师通过处理威胁检测、调查和建议中的繁重工作来更聪明、更快地工作。然而,人类的专业知识和批判性思维仍然是连接点的关键。

人类因素:判断力、创造力、直觉

虽然人工智能擅长处理数据,但人类分析师为端点防御带来了机器所缺乏的关键优势。人类提供了三个关键能力:

平衡评估

人工智能有时会将无害事件标记为可疑,导致虚假警报,或者它可能会错过真正的威胁。但是,人类专家可以使用他们的经验和良好的判断力来评估人工智能的发现。例如,如果系统错误地将正常的软件更新标记为恶意,分析师可以检查并纠正错误,避免不必要的中断。这一平衡的人类评估允许更准确的威胁检测。

创造性问题解决

攻击者不断修改他们的恶意软件,以躲避人工智能系统,这些系统通常被调整为发现已知的威胁。但是,人类分析师可以跳出思维定势,根据小的异常识别新的或微妙的威胁。当黑客改变他们的策略时,分析师可以根据代码中的微小异常制定新的检测规则——机器难以发现的见解。

看到更大的图景

保护复杂的网络意味着考虑许多机器无法完全考虑的因素。在复杂攻击的中间,人类的判断力变得至关重要,以便做出高风险的决定——例如,是否隔离系统或谈判赎金。虽然人工智能可以建议选项,但人类的视角仍然需要指导响应并最小化业务影响。

人类洞察力和人工智能共同构成了一个强大的防御,可以捕获其他系统可能会错过的高级网络攻击。人工智能快速处理数据,而人类推理填补了空白。通过合作,人类和人工智能加强了端点保护。

优化人工智能安全团队

以下是一些提示,帮助您充分利用人工智能增强的EDR和人类主导的团队:

  • 相信但验证人工智能评估。利用人工智能检测快速范围事件,但在采取行动之前通过手动狩猎验证发现。不要盲目相信每个警报。
  • 使用人工智能来关注人类专业知识。让人工智能处理重复性任务,例如监视端点和收集威胁详细信息,以便分析师可以专注于更高价值的工作,例如战略响应规划和主动狩猎。
  • 提供反馈以随时间改进人工智能模型。将人类验证反馈到系统中——确认真/假阳性——允许算法自我纠正以变得更加准确。人工智能从人类的智慧中学习。
  • 每天与人工智能合作。分析师和人工智能合作得越多,双方就能学习得越多,提高技能和性能。每日使用会使知识加倍。

就像网络攻击者利用自动化和人工智能发动攻击一样,防御者必须用人工智能武装起来进行反击。由人工智能和人类智能提供支持的端点安全为保护我们的数字世界提供了最好的希望。

当人类和机器联合起来,利用互补的能力来智胜和智取任何对手时,没有什么是我们无法共同实现的。网络安全的未来已经到来——这是一种人工智能合作。

采用人工智能增强的EDR的挑战

为安全监控实施人工智能听起来很棒。但是,对于已经人手不足的团队来说,实际操作可能会很混乱。人们面临着各种障碍,从理解工具的思维方式到停止警报疲劳等。

警报疲劳。

复杂性

使用EDR工具的安全分析师不一定都是工程师。因此,要求他们直观地理解置信区间、精度率、模型优化和其他机器学习概念,这是一个很高的要求。没有用简单的语言解释这些概念的培训,人工智能的功能就无法被利用来抓住坏人。

虚假警报泛滥

在早期,尤其是,一些人工智能工具过度地标记了威胁。突然,分析师每周都会被数百个低置信度的警报淹没——其中很多都是虚假的。这会将关键信号淹没在噪音中。感到不知所措,许多团队可能会完全忽略这些警报。这些工具需要被优化和微调,以便在敏感度方面达到平衡。

黑盒工具

神经网络像不可穿透的黑盒。由于风险评分和建议的理由保持不透明,员工很难相信自动系统来做出决定。为了让人工智能与其人类同事赢得信誉,它必须让他们能够窥视其推理的内部工作原理——但这并不是当前技术总能做到的。

不仅仅是一颗魔弹

仅仅引入新的人工智能工具是不够的。为了充分利用这项技术,安全团队必须改进他们的流程、技能、政策、指标,甚至文化规范,以适应它。将人工智能作为一个成熟的包裹部署,而没有真正进化组织,将会锁住所有这些改变游戏规则的潜力。

最后的话

人工智能正在带来一系列令人兴奋的工具和对抗网络安全威胁的防御。虽然这是一个好消息,但大部分潜力将保持不变,直到人工智能和人类团队能够和谐地合作,发挥彼此的优势。EDR是网络安全的一个领域,它特别依赖于机器智能和人类专业知识之间的顺畅合作。

当然,双方都存在一个学习曲线。人工智能系统需要更好地以人类同事可以理解和采取行动的透明方式传达其内部逻辑。清除早期警告系统中的信号与噪音问题也将有助于防止分析师疲劳和忽略警报。

mm

David Balaban 是一位拥有超过 17 年恶意软件分析和防病毒软件评估经验的计算机安全研究员。David 运营着 MacSecurity.net Privacy-PC.com 项目,这些项目提供了有关当代信息安全问题的专家意见,包括社会工程、恶意软件、渗透测试、威胁情报、在线隐私和白帽黑客。David 拥有强大的恶意软件故障排除背景,最近专注于勒索软件的对策。