大多数商业AI的成功都与监督式机器学习ML相关。例如,智能家居助理的口语理解和自动驾驶汽车的物体识别,都利用了训练复杂深度学习模型所需的大量标记数据和计算。但在网络安全领域,虽然可以利用AI提升安全运营团队的效率和规模,但前提是需要高度的人参与,否则无法解决大部分网络安全问题,至少对于现在。此外,企业环境中人类行为产生的数字噪音使得系统中的异常现象司空见惯,无法判断它们是否代表攻击。因此,基于人工智能的异常行为检测效果并不理想。例如,一家每天产生10亿遥感数据的大型企业使用机器学习来检测威胁。即使它的准确率达到99.9%,也意味着在100万个误报中找到真正的攻击事件。要克服检测数据的这种不平衡,需要大量的专业知识和多管齐下的检测策略。但显然没有人工智能,事情只会变得更糟。尽管如此,还是有一些方法可以利用机器学习的力量来提高运营效率。以下是建议安全运营团队需要考虑的三个原则:1.人机人工智能是对人类智能的补充,而不是替代。在复杂系统的背景下,尤其是针对快速适应的智能对手,以主动学习为核心的自动化将非常有价值。人类的主要工作是经常检查机器学习系统,添加新样本,不断调整和迭代。2.选择正确的工具你不必成为人工智能专家也能做出正确的决定,但你必须确保选择正确的工具。首先,了解异常行为和恶意行为之间的区别很重要,因为它们通常是两种不同的事物,并且依赖于截然不同的检测技术。前者很容易通过无监督异常检测发现,而不需要标记的训练数据。但后者需要监督学习,通常是很多历史例子。其次,具有高信噪比的警报对于安全运营团队充分了解检测的影响至关重要,因为这些系统并非100%准确。最后,虽然在网络安全领域几乎已经使用了各种机器学习技术,但是积累大量的威胁情报签名仍然非常重要,因为一旦命中这些签名,就几乎可以确认攻击,节省大量的相关分析工作。签名是始终检测已知威胁的关键基线。3.安全操作需要自动化具有讽刺意味的是,许多相信AI可以驾驶汽车的网络安全专业人士对AI在网络安全对策中的作用持怀疑态度。然而,在需要处理海量数据和告警的今天,自动化运维是提高安全运维团队效率的最有效方式之一,也是未来基本唯一的解决方案。自动化将创造性思维从耗时的操作任务中解放出来,在检测高级威胁、关联分析、优先排序、自动化低风险控制(例如隔离可疑文件或要求用户重新验证)时特别有用,这些可以显着改善安全操作效率和降低网络风险。总之,至少在可预见的未来,人工智能或机器学习不可能是唯一的网络安全策略。在浩瀚的数据海洋中寻找蛛丝马迹,将机器智能与安全专家的人类智能相结合,是而且唯一是最实用、最有效的技术手段。
