网络安全中的人工智能：昔日的承诺已成为现实

撰文：Sridhar Muppidi，IBM 研究员兼 IBM 安全部门首席技术官

来源：MIT

多年来，我们一直在争论人工智能（AI）对社会的好处，但直到现在，人们才终于可以看到它的日常影响。但为什么是现在？是什么让 2023 年的人工智能比以往有着更大的影响？

首先，消费者对新兴人工智能创新的接触增加了接受度。从以前只能想象的歌曲创作和图像合成，到撰写大学水平的论文，生成式人工智能已经进入我们的日常生活。其次，我们也已经达到了企业 AI 创新成熟度曲线的转折点——在网络安全行业，这种进步还可以来的再快些。

人工智能的消费化和其在安全领域的应用正在创造其在安全操作中心（SOCs）产生实际影响所需的信任和效力水平。为了进一步了解这一演变，让我们仔细看看人工智能驱动的技术是如何进入网络安全分析师的手中的。

通过人工智能推动网络安全的速度和精度

经过多年来对现实世界用户的试验和完善，再加上人工智能模型本身的不断进步，AI 驱动的网络安全能力已不再只是早期采用者的流行语，或简单的基于模式和规则的能力。数据已经爆炸性增长，信号和独到的见解也是如此。算法已经成熟，并且能够更好地将摄入的所有信息进行上下文处理 -- 从不同的用例到无偏见的原始数据。这些年来，我们一直在等待人工智能的承诺到来。

对于网络安全团队来说，这意味着他们有能力在他们的防御中推动改变游戏规则的速度和准确性——也许，最终，在与网络罪犯的对抗中获得优势。网络安全是一个本质上依赖于速度和精度的行业，这两者都是人工智能的内在特征。安全团队需要确切地知道在哪里查找以及查找什么。他们依赖于迅速行动的能力。然而，在网络安全领域，速度和精度是无法保证的，主要受到该行业的两个挑战困扰：技能短缺、以及基础设施的复杂性导致的数据爆炸。

现实情况是，如今从事网络安全工作的有限人员承担着无限的网络威胁。根据 IBM 的一项研究，防御者的数量远远超过网络安全事件的响应者——68% 的网络安全事件响应者表示，同时应对多个事件是很常见的。此外，流经企业的数据也比以往任何时候都多，而且企业也越来越复杂。边缘计算、物联网和远程需求正在改变现代商业架构，为安全团队创造了带着重大盲点的迷宫。如果这些团队不能“看到”，那么他们的安全行动就无法精确。

如今成熟的人工智能可以帮助解决这些障碍。但要想发挥作用，人工智能必须赢得信任——因此，我们必须在它周围设置护栏，确保可靠的安全结果。例如，当你为了速度而超速时，结果是速度失控，导致混乱。但是，当人工智能被信任时（即，我们训练模型的数据没有偏见，人工智能模型是透明的，没有便宜，并且可以解释），它可以推动可靠的速度。当它与自动化相结合时，它可以大大改善我们的防御态势 -- 在整个事件检测、调查和响应的生命周期中自动采取行动，而不依赖人类的干预。

网络安全团队的“得力助手”

今天，网络安全领域的一个常见和成熟的用例是威胁检测，人工智能从大型和不同的数据集中带来额外的背景，或检测用户行为模式的异常情况。让我们看一个例子：

想象一下，一个员工错误地点击了一封钓鱼邮件，触发了一个恶意的下载到他们的系统中，从而允许威胁行为者在受害者环境中横向移动并隐身操作。该威胁行为者试图绕过环境中现有的所有安全工具，同时寻找可货币化的弱点。例如，他们可能正在寻找被破坏的密码或开放的协议，以利用和部署勒索软件，使他们能够抓住关键系统作为打击企业的筹码。

现在让我们将 AI 置于这个普遍场景之上：AI 会注意到点击该电子邮件的用户的行为现在有所不同。例如，它会检测用户流程的变化，以及它与通常不与之交互的系统的交互。查看发生的各种过程、信号和交互，AI 将分析此行为并将其置于上下文中，而静态安全功能则不能。

因为威胁者不能像模仿静态特征（如某人的证书）那样轻易地模仿数字行为，所以人工智能和自动化给防御者带来的行为优势使这些安全能力更加强大。

现在想象一下这个例子乘以一百，或一千，或者几万和几十万，因为这大概是一个特定企业在一天中面临的潜在威胁的数量。当你把这些数字与今天平均由 3 至 5 人组成的 SOC 团队进行比较时，攻击者自然会占优势。但是，随着人工智能通过风险驱动的优先级支持 SOC 团队，这些团队现在可以专注于噪音中的真正威胁。此外，人工智能还可以帮助他们加快调查和响应 -- 例如，自动挖掘跨系统的数据，寻找与事件有关的其他证据，或为响应行动提供自动工作流程。

IBM 正在通过 QRadar 套件将诸如这些 AI 功能原生地引入其威胁检测和响应技术。改变游戏规则的一个因素是，这些关键的人工智能功能现在通过统一的分析经验汇集在一起，跨越所有核心 SOC 技术，使它们更容易在整个事件生命周期中使用。此外，这些人工智能功能已被完善到可以信任并通过协调响应自动采取行动，无需人工干预。例如，IBM 的安全管理服务团队使用这些人工智能功能，在使用的第一年内自动关闭了 70% 的警报，并将他们的威胁管理时间线加快了 50% 以上。

人工智能和自动化的结合为速度和效率带来了实实在在的好处，而这正是今天的 SOC 所迫切需要的。经过多年的测试，随着其成熟度的提高，人工智能创新可以通过精确和加速行动来优化防御者的时间使用。人工智能在整个安全领域被利用得越多，它就会越快地推动安全团队的执行能力以及网络安全行业的弹性，并准备好适应未来的任何情况。