人工智能功能越来越多地用于检测网络安全威胁。随着威胁的激增,人工智能网络安全能力可能会成为常态。
网络安全团队渴望部署人工智能驱动的工具,并受到包括持续招聘挑战在内的因素的驱动。供应商渴望销售他们的人工智能工具,要么将他们的新商品与旧版本区分开来,以满足不断增长的需求,要么在竞争对手中脱颖而出。
机器学习和其他AI技术应用于网络安全的多个方面,包括异常检测,解决假阳性问题和进行行为威胁分析。他们还可以为任何网络安全妥协提供快速,准确的响应。
用于识别威胁的 AI
网络安全的基本挑战是看到足够多正在发生的事情,以确定何时发生了不应该发生的事情。这意味着检测来自基础架构的每个部分以及所有主要应用程序和云服务和环境的系统和网络事件日志中的异常。AI工具,在不感到无聊或疲惫的情况下,可以坚定不移地关注事件数据流,通过威胁源关联其他环境中的事件或观察结果并从中学习。
这使得人工智能成为最重要的安全分析的核心:行为威胁分析(BTA)。BTA,有时称为用户和实体行为分析或UEBA,它关注事件流,重点是单个参与者。除了分析环境中的异常行为外,它还分析特定人员或系统在特定时间和特定上下文中的行为。随着越来越多的组织致力于实施零信任架构(ZTA),BTA将成为环境中持续行为与ZTA所依赖的企业信任地图之间的关键链接。BTA告诉环境何时减少或取消实体在其中运作的权利。
异常检测的其他方面包括:
• 威胁搜寻;
• 欺诈检测(不是网络安全威胁本身);
• 恶意软件发现;和
• 网络钓鱼检测。
用于遏制威胁的 AI
对安全隐患的自动响应速度快、企业级且高度可靠。随着以对上下文敏感的方式采取行动的能力的提高,人工智能系统可以改善传统的安全自动化。
网络安全专业人员告诉我们,他们不会更依赖对检测到的危害的全自动响应的主要原因是信任。他们不相信自己或供应商能够完全响应和负责任地实现自动化。根据他们的经验,可以自动执行大量安全操作,以应对在公司网络中传播的勒索软件攻击,并将这种自动化放在隐喻的“红色大按钮”后面。
安全运营中心 (SOC) 员工可以在检测到此类攻击时按下按钮。但是,通过允许软件决定按下按钮来关闭该循环是不行的。网络安全专业人员告诉我们,他们无法建立足够的规则来决定在这样的时刻做什么,他们甚至不相信他们甚至会提前知道编写这些规则需要什么相关条件。
希望人工智能系统能够更广泛地理解如何应对攻击,同时保留尽可能多的正常操作。他们应该能够采取措施,从暂时阻止单个帐户访问系统到以完全遏制威胁的方式在网络级别完全隔离节点 - 所有这些都对用户,系统和业务的影响最小。
为什么现代安全将依赖于人工智能
一个共同的想法将这些用例结合在一起。几十年来,IT一直使用安全软件来代替人手来执行重复性操作。此外,人们 - 在工具的帮助下 - 不得不进行所有必要的事件分析,异常识别和事件关联,以便从虚假警报和其他数据的洪流中辨别出真正的安全问题指标。因此,它们是对违反行为或企图违反行为作出反应的唯一手段。在人工智能的帮助下,软件将能够取代人类的一些注意力。人工智能应该能够对事件进行一些评估,并制定正确的响应,以维持和理想地改善网络安全。
人类的注意力是任何网络安全团队中最稀缺的资源。网络安全团队一直面临着寻找、培训和留住员工的挑战,并且通常工作过度(与大多数IT专业人员一样)。人们希望人工智能工具能够通过将他们的注意力从对无数事件的低级评估转移到对异常事件的更高级别评估,从而减轻网络安全人员的负担。例如,执行良好的零信任策略应导致发生异常事件较少的环境。
人工智能网络安全平台
一些AI内置在引擎盖下的特殊用途安全软件中。例如,RedSeal可以分析已构建的网络,并找到流量在其中流动的所有可能方式。Balbix,INFRA和Secureworks Taegis都是为识别环境中的漏洞而构建的。其他平台(如 Securiti)可以跨多个云发现受保护的风险信息。
不同的系统可以提供AI辅助,作为更广泛的安全自动化平台。安全编排、自动化和响应(SOAR)包,以及后期安全信息和事件管理 (SIEM) 系统以及扩展检测和响应 (XDR) 系统旨在为其系统注入AI,为异常检测提供支持。包括Fortinet,Palo Alto Networks,Splunk和Swimlane在内的供应商已将AI作为新产品和进化产品的核心特征。
鉴于网络犯罪、网络活动、互联网的现实以及解决网络安全人员短缺的需求,将人工智能注入网络安全产品和运营是不可避免的。采用的速度将在很大程度上取决于产品兑现承诺的程度。网络安全团队需要时间来建立对新功能的信任,而重大的失误可能会变成采用的重大延迟。