Connect with us

网络安全

为什么人工智能使得网络安全中要关注的内容比以往任何时候都更加困难

mm
Published
Updated

人工智能已经改变了网络安全。安全运营中心现在处理更多的遥测数据,检测异常更快,并自动化重复的调查。理论上,这应该代表网络防御的黄金时代。

实际上,许多团队感到比以往任何时候都更加不知所措。

检测能力已经大大提高,但清晰度并没有提高。现代网络安全的悖论是,提高可见性往往会导致更大的不确定性。当一切看起来都很可疑时,弄清楚什么真正重要成为中心挑战。

更多的检测并不等于更好的保护

基于人工智能的安全工具以前所未有的规模生成警报。行为分析、端点检测、云监控、身份异常检测和威胁狩猎引擎不断扫描基线活动的偏差。

结果是一大堆警报。

研究表明,团队每天面临大约 4,484 个警报,由于资源限制,相当一部分警报被忽略。这种数量说明了检测能力和响应能力之间的差距。人工智能提高了可见性,但也增加了噪音。

对于安全领导者来说,这造成了运营压力。分析师花费宝贵的时间调查最终风险很小的事件。同时,高影响威胁可能隐藏在较低优先级的信号中。

优先级问题

问题不在于数据匮乏。它在于上下文匮乏。

安全平台擅长识别异常。它们在解释哪些异常在特定业务环境中最重要方面效果较差。开发服务器上的漏洞与面向客户的支付系统上的同一漏洞不等同。

这就是现代 威胁情报平台 的战略重要性。它不仅仅是聚合警报,还将外部威胁源与内部资产上下文、利用可用性和暴露数据相关联。它回答了一个更有意义的问题:哪些警报与活跃的威胁活动和关键资产相交叉?

优先级将数量转化为焦点。没有优先级,团队默认为反应性分诊,通常由第一个到达的警报驱动。

人工智能提高了双方的赌注

也很重要的是要认识到,人工智能不仅仅是用于防御者。正如最近的报道所强调的, 人工智能使网络安全战场的另一方具有了能力。威胁者现在利用机器学习模型来自动化侦察,制作非常令人信服的钓鱼活动,并动态地适应恶意软件行为。

大型语言模型可以在规模上生成本地化的钓鱼电子邮件。自动扫描工具可以在几分钟内识别出配置不正确的云资源。凭证收集活动根据响应模式不断完善。

这加速了时间线。初始损害和横向移动之间的间隔正在缩短。防御团队必须比以往任何时候都更快地解释和响应信号。

当自动化放大攻击速度时,防御团队仍然受到人类响应带宽的限制,这种不平衡就变得明显了。

全面覆盖的幻觉

许多组织试图通过添加更多工具来解决警报疲劳。更多的检测引擎,更多的仪表板,更多的源。假设是,提高可见性将降低风险。

实际上,碎片化的工具通常会增加复杂性。单独的控制台会生成单独的警报,而没有统一的上下文。分析师在系统之间手动交叉引用数据,延长了调查周期。

战略问题从“我们如何检测更多?”转变为“我们如何解释我们检测到的内容?”

成熟的方法专注于遥测源的关联。网络活动、身份异常、端点信号和漏洞数据必须汇聚到统一的风险模型中。这一汇聚使安全团队能够区分常规噪音和协调攻击活动。

上下文是新的区别

高性能的安全计划越来越多地依赖于上下文情报,而不是孤立的警报。上下文包括资产关键性、业务影响、利用可能性和活跃的威胁活动。

例如,理论上严重的漏洞如果不被积极利用,可能需要监视而不是立即修复。相反,一个与针对类似组织的正在进行的活动相关的中等严重性漏洞需要快速行动。

威胁情报源提供了这种外部视角。当与内部暴露数据结合时,它们创建了一个优先的修复路线图,而不是一个断开的警报列表。

这就是人工智能应该提供帮助,而不是让人感到不知所措的地方。与其产生更多的警报,人工智能模型应该表面上相关性,人类分析师在时间压力下可能会错过这些相关性。

从检测到暴露管理

网络安全的对话正在逐渐转向暴露管理。与其仅仅关注攻击开始后识别攻击,不如在被触发之前映射和减少可利用的路径。

持续的暴露管理框架评估漏洞、配置不当和身份权限如何相交。它们模拟潜在的攻击路径,以确定风险在哪里积累。

威胁情报平台集成到这个模型中可以提高准确性。它有助于确定暴露是理论上的还是在野外积极针对的。这一区别直接影响优先级决策。

预防性减少暴露通常比调查另一个假阳性更有影响力。

人为因素

在每个警报队列后面都是分析师在压力下做出判断。警报疲劳不仅仅是一个运营上的不便。它是一个人类的可持续性问题。

当专业人员处理成千上万的低价值警报时,认知疲劳增加。决策质量下降。倦怠增加。在已经受到限制的劳动力市场中,人才留存变得困难。

人工智能本应减轻这种负担。在某些环境中,它确实做到了。在其他环境中,它只是将信号量增加了,而没有提高清晰度。

人工智能集成的下一阶段必须强调质量而不是数量。模型应该调整以最小化假阳性并提高风险评分的精度。

2026 年成熟度的样子

2026 年的网络安全成熟度不会由公司可以生成的警报数量来定义。它将由公司能够将情报转化为行动的速度和准确性来定义。

将上下文威胁情报、暴露分析和自动优先级集成到一个协调系统中的组织将优于仅依赖检测的组织。目标不是完全消除警报,而是确保每个警报代表有意义的风险。

安全团队需要更少、更有信心的决策。他们需要能够阐明而不是模糊视野的可见性。

人工智能仍然是这一转变的核心。当战略性地实施时,它减少了认知超载并提高了优先级。当没有集成实施时,它会放大混乱。

区别在于架构,而不仅仅在于算法本身。

mm

David Balaban 是一位拥有超过 17 年恶意软件分析和防病毒软件评估经验的计算机安全研究员。David 运营着 MacSecurity.net Privacy-PC.com 项目,这些项目提供了有关当代信息安全问题的专家意见,包括社会工程、恶意软件、渗透测试、威胁情报、在线隐私和白帽黑客。David 拥有强大的恶意软件故障排除背景,最近专注于勒索软件的对策。