采用安全信息和事件管理(SIEM)软件可以为企业提供威胁监控、事件关联、事件响应和报告。SIEM从企业技术(包括应用程序、防火墙和其他系统)收集、汇总和分析日志数据,然后向企业的IT安全团队发出登录失败、恶意软件和其他潜在恶意活动的警报。然而,多年来,SIEM除了提供更好、更易于搜索的基于规则的日志引擎之外,几乎没有做什么。人工智能(AI)和机器学习(ML)技术与网络安全工具的结合预示着未来的美好前景。研究公司Gartner在2016年创造的另一个新术语是“用于IT运营的人工智能”(AIOps)。人工智能和基于机器学习的算法与预测分析相结合正迅速成为SIEM平台的核心部分。这些平台对给定IT环境中观察到的所有活动提供自动化、持续的分析和关联。这种集成为SIEM提供了深度学习功能和无数集成工具,以推动更智能的结果。以下是此集成SIEM的优势:防止隐形攻击典型的SIEM分析将在相对较短的时间段(通常为数小时和数天)内从不同来源收集的事件关联起来。这是与基础设施的基线进行比较,如果超过预设阈值,将输出优先级警报。AIOps意味着将长期(可能是几年)收集的事件信息存储在数据库中,然后将该数据应用于分析系统。这种分析使AIOps能够随着时间的推移调整基础设施基线和警报阈值,并根据相关事件自动采取补救措施。此外,大数据的使用使SIEM能够检测到网络上非常缓慢或隐蔽的活动,否则SIEM可能会遗漏或忽略这些活动。通过检测这些缓慢或隐蔽的攻击,安全团队可以防止重大安全事件。威胁检测除了提供标准日志数据外,人工智能和机器学习技术还可以集成威胁情报源。一些产品还具有高级安全分析功能,可以查看用户和网络行为。机器学习使企业的SIEM能够促进跨大型数据集的威胁检测,从而减轻安全团队的一些威胁搜寻责任。威胁情报可以深入了解各个IP地址、网站、域和全球互联网上其他实体的可能意图,从而使他们能够区分良性活动和恶意活动。为企业的SIEM提供对一个或多个威胁情报源的持续访问,使机器学习技术能够使用威胁情报提供的上下文。随着它了解更多,它开始理解超出其初始数据输入的恶意行为警告。因此,它可以阻止以前从未遇到过的对企业网络安全的威胁。它提高了SIEM的决策,特别是在准确性方面,从而有助于加深企业的安全层。不过这里要提醒一句:机器学习应用程序在较大的数据集上比在较小的数据集上更有效,但由于大数据可能有损,它会使合规报告复杂化。但由于这是一个已知问题,因此有多种解决方法可用。从数据中去除噪音典型的SIEM提供大量监控数据/日志,但SIEM报告数据不可操作、难以理解并且包含太多噪音。与人工智能集成的SIEM解决方案可以有效地管理大数据,并可以用自动化的工作流取代重复和冗余的任务。虽然大多数AI程序都有助于数据分类,但AI元素无法对无法识别的数据点和事件信息进行分组。另一方面,机器学习可以利用数据聚类功能来识别这些未知值,并根据检测到的相似性对它们进行分组。随着业务规模的扩大消除盲点随着业务规模的扩大,安全系统更容易出现盲点。每个盲点都可能在数月甚至数年内无人监控。因此,网络的这些部分可能会长时间未打补丁。这些盲点进一步成为黑客实施威胁的渗透点。幸运的是,SIEM中的AI可以帮助提高网络可见性,从而可以快速、定期地发现网络中的盲点。它还可以从这些最近发现的盲点中提取安全日志,从而扩展SIEM解决方案的范围。提高IT安全团队的响应能力任何企业的安全运营中心(SOC)团队都是有限的,任何SIEM产生的日志数据量都是相当大的。这使得以响应迅速且高效的方式处理事件极具挑战性。更重要的是,许多SIEM工具还提供了大量不相关的数据,导致安全运营中心(SOC)团队面临警报疲劳。当处理的警报太多并且不知道要注意和忽略哪些警报时,就会发生这种情况。机器学习提供的自动化和标准化工作流程可以减少人为错误的可能性并更快地完成工作。SIEM还需要您的IT安全团队进行持续监控。手动监控每个系统检查点不仅令人筋疲力尽,还可能导致倦怠。由机器学习提供支持的SIEM可以提供:自我学习以自动执行重复的非结构化流程系统警报自动化的能力数据可视化仪表板实时分析顶级企业安全性跨部门共享不幸的是,由简单的机器学习功能提供支持的SIEM无法与人类的聪明才智和网络攻击者的集体协作。因此,您的安全团队需要带头进行威胁搜寻和事件响应。但是,正确实施的AI增强型SIEM可以通过其预测和自动化功能优化这些流程。此类SIEM可以为企业的IT安全团队提供以下功能:通过企业的安全关联规则,可以进行自动化的威胁搜寻。SIEM中的人工智能元素可以通过自动将上下文应用于所有警报来识别误报。人工智能增强型SIEM可以加快安全人员有限的企业的检测和响应时间。从本质上讲,企业不仅可以将这项技术视为第二只眼睛,还可以将其视为第二只手。但需要记住的是,人类智能将永远胜过人工智能。预测模式机器学习算法增强了SIEM系统,允许它们使用以前的模式来预测未来的数据。例如,考虑在安全漏洞期间提供的数据模式。机器学习功能使系统能够内化这些模式,然后使用它们来检测可能表明后续违规或渗透的可疑活动。AI增强型SIEM可以阻止潜在的恶意进程。这不仅有助于调查和威胁补救,而且甚至可以在事件响应开始之前减轻损害。对于相对较小的企业或具有简单IT基础架构的企业而言,支持AI的SIEM的成本可能高得令人望而却步,而与良好的安全措施相结合时几乎没有优势。大型和复杂的IT基础设施可能证明为企业使用支持AI的SIEM的成本是合理的。但是,始终建议对产品进行详细评估。Gartner预测,到2023年,全球将花费约1755亿美元用于信息安全和风险管理。到2023年,数据安全、云安全和基础设施保护将成为安全支出增长最快的领域。根据ZionMarketResearch的数据,2018年全球在基于人工智能的网络安全系统和服务上的支出达到71亿美元,预计到2025年将达到309亿美元。随着越来越多的数据在日益数字化的市场中产生,关键业务的安全性信息是最重要的。随着网络攻击的复杂性和频率不断增加,支持威胁情报的网络安全工具将成为企业最有价值的资产。
