从安全专业人士的角度来看,目前非常需要采用人工智能和机器学习。他们正在寻找自动化威胁检测和标记恶意行为的方法。取代手动方法将腾出时间和资源来专注于其他任务。许多当前的安全监控工具生成的大量警报或误报加剧了这一挑战。企业团队致力于安全分析,或者发现他们根本无法识别这些警报中出现的威胁。AI和机器学习的力量AI和机器学习可以在这里提供真正的价值。在识别和预测某些类型的模式方面,机器学习提供了比人类更好的能力。这些新工具还可以超越基于规则的方法,后者需要已知模式的知识。相反,他们可以了解IT基础设施中的典型活动模式,并发现可能标记攻击的异常偏差。但是,虽然人工智能和机器学习等现代工具可以支持CISO的网络基础设施,但组织仍然需要一些人力投入来响应事件并从事件中恢复。例如,这些人确定问题是否为误报、与受影响的团队沟通并与其他组织协调行动。诚然,当今的安全产品无法完全自动化安全运营中心(SOC)或完全消除对安全分析师、事件响应人员和其他安全运营中心(SOC)人员的需求,但技术可以简化和自动化某些流程以减少对人类响应者的需求。机器学习技术提供了多种方法来提高组织基础设施的安全性。其中包括:威胁预测和检测,其中评估异常活动以识别新出现的威胁。风险管理,包括监控和分析用户活动、资产内容和配置、网络连接以及其他资产属性。通过使用有关组织资产的知识和有关可能的弱点的信息来确定漏洞信息的优先级。威胁情报管理,审查威胁情报源中的信息以改进质量。安全事件和事件调查与响应,包括查看和分析事件信息以确定后续步骤并组织最合适的响应。人工智能以及用户和实体行为分析(UEBA)等新兴技术可以帮助安全团队的另一个领域是用户和实体行为分析(UEBA)。基于用户和实体的威胁越来越受到关注,需要新的方法。根据Verizon最新的数据泄露报告,63%的已确认数据泄露涉及网络攻击者通过使用窃取的访问凭证冒充合法用户,或恶意利用合法用户的访问权限。然而,要检测内部威胁,安全工具必须首先能够理解和基准化用户行为,而这正是机器学习可以提供真正价值的地方。通过建立基线行为和模式,然后通过结合统计模型、机器学习算法和规则来检测异常,用户和实体行为分析(UEBA)解决方案可以将传入交易与现有基线配置文件进行比较。可以标记潜在威胁以供进一步检查和采取行动。AI可以协助用户和实体行为分析(UEBA)的具体领域包括:帐户泄露:AI支持的工具可以检测黑客是否访问了网络用户的凭据,无论使用何种攻击媒介或恶意软件。内部威胁:通过建立用户行为基线,这些工具将能够检测并标记超出该基线的异常和高风险活动。特权帐户滥用:AI辅助的用户和实体行为分析(UEBA)解决方案将通过检测泄露的凭据和横向移动到包含此特权数据的系统来识别有权访问敏感信息的特权用户的特定滥用行为。攻击。持续改进IT安全人工智能和机器学习共同为安全团队提供了很多帮助,以找到更好的方法来预防和应对网络安全威胁。然而,为了实现该技术必须提供的所有功能,安全团队需要牢记一些必须采取的关键步骤。其中包括:提供基于机器学习的工具,可以实时访问大量高质量、丰富的结构化数据,显示整个组织中所有与安全相关的事件。为工具提供必要的上下文信息,以了解每个观察到的活动和检测到的异常的含义和意义。监督学习使用大量高质量的训练数据来教育哪些工具对活动有益,哪些没有。正确部署和管理的人工智能和机器学习驱动的工具将为安全团队提供重要的支持和帮助。他们将检测隐藏的威胁并最大限度地减少误报、加快事件响应速度并简化安全运营中心(SOC)的运营,从而降低成本并提高效率。人工智能和机器学习的发展才刚刚开始,其能力将在未来几年继续加速发展。值得花时间了解该技术的作用以及它如何为组织增加价值。
