AI不仅仅是简单地用电脑做数学计算。虽然数据是促使AI发挥作用的关键组成部分,但我们还需将AI和ML本身融入到操作流程中。人们不应将AI和ML视为独立技术,而应将其视为给安全流程和运营带来价值的使能技术。
最成功的AI技术是将机器学习的大规模统计模式匹配与学习相结合,同时利用集成专业领域知识等的其他技术,从而提供混合系统的一种技术。根据定义,新开发、以前未知的威胁几乎没有与之相关的基线统计数据。同样,人们可以利用网安专业知识创建逻辑(通常部分来自大规模的数据分析),这些逻辑可有效预防和检测特定的攻击者战术和技术。但是,使用专家系统汇总这些洞察数据会导致跨部署的错误率出现失衡和偏斜。
我们需要的是这样一种AI系统,它使用来自ML的统计洞察数据,以及来自系统其他部分的技术驱动洞察数据,这样便可普遍用于应对新攻击,同时针对所有平台保持一致性和较低的错误率。
AI和ML为网络安全提供的真正价值
从根本上说,在企业安全方面充分利用AI和ML可起到事半功倍的效果,能够让安全运营中心(SOC)用更少的人员投入获得更高的效率。这就好比一个放大系数,可以增强企业的能力,让分析人员的技能有真正的用武之地,以便充分发挥他们的经验。
AI和ML在安全领域的一个常见用例是帮助建立常规操作的基准线,然后提醒团队注意潜在的异常情况。我们还可以使用AI和ML识别出更多人们一直在执行的日常任务,以此提高运营效率。该技术可创建或建议自动化剧本,从而节省时间和资源。
AI和ML还有助于为自动化提供信息和动力,这是在人员和资源始终受限的环境中实现可扩展性的关键。如今,每个SOC都需要以更少的人员应对更多、更复杂的威胁。归根结底,AI和ML的目标是以一种快速利用非常稀缺资源的方式来帮助提供良好的安全成果。
AI和ML如何提升安全成果
在安全运营中,需要解决的问题从来都不止一个,而是一系列经常掺杂在一起的问题。借助AI和ML提高自动化,免去整个安全运营中的手动操作,可以防止更多风险演变成为安全事件。如果能够预防更多风险,那么企业需要应对的实际安全事件就会更少,这样响应效率就会提高。AI和ML通过利用与攻击者相同的工具,为您提供专注的优势以及随威胁环境进行扩展的能力,进而加强企业的整体安全态势。