實現AI驅動的安全運營

■ 河南 崔賢

安全管理對于企業來說是一項日益復雜的任務。隨著網絡規模的迅速擴展，許多企業組織發現它們在網絡中的可見性已大大降低。

企業采購不同的供應商產品致使形成孤立的安全工具及孤立的網絡開發和安全項目，這意味著需要更多的管理控制中心來進行追蹤數據，而更多的數據得不到關聯或關聯得不夠迅速，導致企業無法及時檢測出快速變化的威脅。

借助機器學習（ML）和人工智能（AI）填補技能短板

還有一個問題是安全技能的差距。如今尋找具有一般安全技能的人員都變得越來越困難，更不要說具有專門技能的人員（例如安全分析師了。但是，如果沒有足夠的技術人員來分析不斷增長的數據量，威脅信息很可能就會被遺漏，或者被發現的太遲而沒有時間采取有效的防護措施。

企業通常使用ML和AI來執行那些大量且繁重的任務，例如關聯日志文件或執行設備補丁和更新。但這只是其表面上的能力。然而，機器學習和人工智能也可以通過降低不斷擴展的安全基礎架構的復雜性和成本，來幫助企業填補網絡安全人員和技能上的不足。它們非常適合面向數據的任務，例如日志文件的關聯和分析以及不斷增加的安全設備和網絡設備所產生的威脅警報。

機器學習的關鍵作用

通過機器學習獲得增強的系統，完全有能力執行更高級別的任務，例如評估新文件、網站和網絡基礎架構，以自動識別惡意軟件和其他惡意利用行為。它甚至還可以檢測到某些未知攻擊，這些攻擊很可能在威脅情報更新之前對企業網絡構成威脅。它還可以生成相關的威脅情報，以使企業能夠更準確地自動預測和防范網絡威脅。

機器學習還可以檢測可能具有已知漏洞的設備，甚至可以安排這些設備進行修補和升級、監視或替換。

隨著網絡中易受攻擊的IoT設備數量的不斷增加，這一能力尤其重要。因為許多企業根本就沒有合適的系統來識別和保護這些潛在的攻擊點，而基于機器學習的系統可以幫助企業應對針對IoT的潛在威脅。

基于AI的安全運營能力

同樣，某些AI系統現在能夠聚合和分析來源于企業IT和安全基礎架構中數百個設備的大量數據，以檢測隱藏的威脅，這些隱藏的威脅即使是最好的數據分析人員也難以發現。它還可以通過整個網絡資源的編排來協調響應，以提高安全運營的效率。

AI還可以利用機器學習系統生成的樣本來提高其數據分析的準確性和效率。通過將威脅模型和實踐與實時網絡流量相關聯，AI系統就能夠檢測到威脅并在其實施攻擊之前進行阻斷。隨著時間的推移，該過程將變得越來越高效，從而使企業比網絡攻擊者更具優勢。

人工智能的突破性進展使自動化防御、檢測和響應威脅實現了人工手段和孤立的管理平臺從未達到過的準確性和速度。通過在安全平臺上部署AI技術，企業不僅可以在所有設備、用戶、端點和環境中實現全面的可見性和安全防護，而且集中的AI驅動的安全運營還可以在該安全架構上收集、關聯和通信，以確保更快速和更全面的響應和補救。

這為企業提供了前所未有的能力來管理其龐大且不斷增長的安全設備，以及查看和保護分布在網絡系統、接入點、移動網絡及物聯網設備（無論是物理的還是虛擬的）中的數據、應用程序和工作流。

AI使網絡攻擊者與用戶之間的攻守之勢發生轉變

通過與SOC環境集成在一起，融入AI的網絡安全系統可以增強安全研究人員、安全分析人員以及事件響應人員等團隊的能力。這可以使企業及早發現威脅并更快地響應漏洞利用，從而降低安全事件的風險和潛在影響，同時提高安全運營的整體效率和價值。

總之，通過將先進的AI技術深入到分布式網絡和安全基礎架構中，企業可以顯著增強其檢測和響應威脅的能力，實時調整安全策略，以保持動態網絡變化，并在整個網絡范圍內擴展可見性和控制力。

反過來，這又擴大并加速了安全研究人員和數據分析人員的服務能力，使他們能夠專注于監督安全操作，而不是試圖關聯和處理不斷增長的威脅情報。通過將機器學習和AI與專業網絡安全專家團隊相結合，以實現真正的由AI驅動的安全運營，企業就可以領先于網絡攻擊者的步伐，確保企業可以更一致且更有效地應對攻擊。