网络安全中人工智能 (AI) 的主要用例之一是使用该技术自动化威胁检测和响应。围绕人工智能如何提高威胁检测率并在安全调查过程中取代安全分析师的宣传如此之多(在大辞职和持续的网络安全技能短缺的时代,这是一个非常需要的好处),许多公司正在全力以赴用于威胁检测和响应的人工智能。然而,他们应该是吗?
威胁检测和响应中的人工智能:现实还是白日梦?
为了让人工智能系统按预期工作,用户需要通过将数据分类为“好”或“坏”来训练技术。这在许多行业中是一个非常可行的目标,但网络安全不是其中之一。原因是,在网络安全调查中,数据本身并不能明确区分好活动和坏活动。您需要围绕该数据的基础上下文来进行正确的分类——而人工智能不能总是破译这个上下文。
例如,人工智能可能能够提取显示用户登录尝试失败的数据,但没有关于用户身份、业务案例、他们登录的(不)可靠位置、他们用来登录的系统等的更广泛背景。 ,不可能知道这些失败的尝试是良性的还是恶意的。虽然 AI 系统可能会发出嘈杂的警报,但实际的攻击不会被发现,因为攻击者很可能通过组织权限之外的方式获得了员工的凭据。因此,令人不快的现实是,即使人工智能取得了进步,也需要人类分析师来审查和分类这些背景信息,根据上下文进行适当的评估并采取适当的行动。
正因为如此,我相信希望 AI 突然自动检测攻击,了解其复杂性,然后做出自动响应行动是一个理想的目标,而不是现实。事实是,在网络安全复杂性方面,人工智能技术还没有出现。因此,依靠它来自动化威胁检测和响应——无论你多么希望它——是不可靠和危险的。无论如何都在前进的组织正在获得安全团队需要调查的大量误报,这大大增加了错过需要采取行动的实际威胁的风险。更不用说,这种方法继续使已经不堪重负的安全分析师因警报疲劳而不堪重负。
将 AI 应用于其他安全调查领域
这并不是说人工智能永远不会实现自动化威胁检测和响应的承诺,或者在安全调查中使用人工智能的概念已经失败。相反,我们需要简单地重新考虑我们在流程中使用人工智能的位置以及我们为它设定的目标。今天,人工智能可以产生积极影响的安全调查领域是从不同的数据孤岛中提取数据,然后自动化数据的规范化、汇总和可视化以协助分析师。
在没有人工智能的情况下,典型的数据提取过程包括分析师手动梳理无穷无尽的日志和事件,以检测和提取指示异常或威胁的数据——这是一个艰巨、耗时的过程,需要资源和培训,而今天的安全团队却不具备有。跨多个数据源执行此操作使问题更加复杂。AI 可用于提取、关联和冒泡感兴趣的实体及其上下文业务交互,因此分析师可以快速审查、分类、调整并以高效的方式做出决策。这涉及人工智能从孤立的异构身份验证数据、网络活动、端点端口和进程信息、用户身份和应用程序上下文以及来自公共数据源的威胁信息中提取感兴趣的实体及其交互。
虽然数据源和用例可能相同,但您使用 AI 的主要区别在于您的网络安全 AI 工具是尝试为您制造自动驾驶汽车,还是为您提供一辆带有辅助控制功能的汽车,让您驾驶容易地。您的网络安全解决方案应该让您通过为您提供交互实体的摘要和视觉效果来自由调查,同时让您深入支持原始数据并轻松转向探索您想要进一步调查的方向。以这种方式使用人工智能将使安全分析师能够进行更准确的安全调查并更快地对实际威胁采取行动,并对结果充满信心。
维护人的因素
网络安全中的人工智能仍处于起步阶段,我们不能指望它能够全面运行安全操作。相反,我们需要将其视为“辅助人工智能”,该技术正在协助——但不是取代——分析师。正是这种人机协作——分析师仍坐在驾驶座上——将使公司能够进行更简单、更快和更准确的安全调查。