為什么人工智能對(duì)于IT安全很重要

隨著人工智能（AI）和機(jī)器學(xué)習(xí)（ML）能力的不斷發(fā)展引起人們?cè)絹?lái)越多的興趣，人們開(kāi)始關(guān)注它們?nèi)绾文芴岣逫T安全性。供應(yīng)商和客戶都在研究這些技術(shù)加強(qiáng)防御和抵御攻擊的方法。

從安全專業(yè)人員的角度來(lái)看，目前對(duì)于采用人工智能和機(jī)器學(xué)習(xí)的需求非常強(qiáng)烈。他們正在尋求使威脅檢測(cè)和標(biāo)記惡意行為實(shí)現(xiàn)自動(dòng)化的方法。替代人工方法將騰出時(shí)間和資源來(lái)專注于其他任務(wù)。

當(dāng)前許多安全監(jiān)控工具生成的大量警報(bào)或誤報(bào)使這一挑戰(zhàn)更加嚴(yán)重。而企業(yè)團(tuán)隊(duì)致力于進(jìn)行安全分析，或者發(fā)現(xiàn)他們根本無(wú)法在這些警報(bào)中識(shí)別正在出現(xiàn)的威脅。

人工智能和機(jī)器學(xué)習(xí)的力量

人工智能和機(jī)器學(xué)習(xí)可以在這里交付真正的價(jià)值。當(dāng)涉及到識(shí)別和預(yù)測(cè)某些類型的模式時(shí)，機(jī)器學(xué)習(xí)提供了比人類更好的能力。這些新工具還可以超越基于規(guī)則的方法，這些方法需要已知模式的知識(shí)。與其相反，他們可以學(xué)習(xí)IT基礎(chǔ)設(shè)施中的典型活動(dòng)模式，并發(fā)現(xiàn)可能標(biāo)記攻擊的異常偏差。

但是，盡管人工智能和機(jī)器學(xué)習(xí)等現(xiàn)代工具可以支持首席信息安全官的網(wǎng)絡(luò)支持基礎(chǔ)設(shè)施，但組織仍然需要一些人員的參與才能做出響應(yīng)并從事件中恢復(fù)。例如，這些人確定問(wèn)題是否為誤報(bào)，與受影響的團(tuán)隊(duì)進(jìn)行溝通，以及與其他組織協(xié)調(diào)行動(dòng)等。

確實(shí)，當(dāng)今的安全產(chǎn)品不能完全使安全運(yùn)營(yíng)中心（SOC）完全實(shí)現(xiàn)自動(dòng)化，也無(wú)法完全消除對(duì)安全分析師、事件響應(yīng)者和其他安全運(yùn)營(yíng)中心（SOC）工作人員的需求，但是技術(shù)可以簡(jiǎn)化和自動(dòng)化某些流程以減少對(duì)人員響應(yīng)者的需求。

機(jī)器學(xué)習(xí)技術(shù)提供了多種改善組織基礎(chǔ)設(shè)施安全性的方法。這些包括：

?威脅預(yù)測(cè)和檢測(cè)，其中評(píng)估異?；顒?dòng)以識(shí)別新出現(xiàn)的威脅。

?風(fēng)險(xiǎn)管理，其中包括監(jiān)視和分析用戶活動(dòng)，資產(chǎn)內(nèi)容和配置，網(wǎng)絡(luò)連接以及其他資產(chǎn)屬性。

?通過(guò)使用有關(guān)組織資產(chǎn)的知識(shí)以及可能存在弱點(diǎn)的信息，對(duì)漏洞信息進(jìn)行優(yōu)先級(jí)排序。

?威脅情報(bào)管理，通過(guò)該情報(bào)審查威脅情報(bào)源中的信息以提高質(zhì)量。

?安全事件和事件調(diào)查與響應(yīng)，其中涉及查看和分析事件的信息，以便確定下一步措施，并組織最適當(dāng)?shù)捻憫?yīng)。

人工智能和用戶和實(shí)體行為分析（UEBA）

這些新興技術(shù)可以協(xié)助安全團(tuán)隊(duì)的另一個(gè)領(lǐng)域是用戶和實(shí)體行為分析（UEBA）?；谟脩艉蛯?shí)體的威脅日益受到關(guān)注，因此需要新的方法。

根據(jù)Verizon公司最近發(fā)布的數(shù)據(jù)泄露事件報(bào)告，確認(rèn)的數(shù)據(jù)泄露事件中有63%涉及網(wǎng)絡(luò)攻擊者通過(guò)使用被盜的訪問(wèn)憑據(jù)冒充合法用戶，或惡意利用合法用戶的訪問(wèn)權(quán)限。

但是，要檢測(cè)內(nèi)部威脅，安全工具必須首先能夠理解用戶行為并為其設(shè)定基準(zhǔn)，而這正是機(jī)器學(xué)習(xí)可以提供真正價(jià)值的地方。通過(guò)建立基線行為和模式，然后通過(guò)組合統(tǒng)計(jì)模型、機(jī)器學(xué)習(xí)算法和規(guī)則來(lái)檢測(cè)異常，用戶和實(shí)體行為分析（UEBA）解決方案可以將傳入事務(wù)與現(xiàn)有基線配置文件進(jìn)行比較?？梢詷?biāo)記潛在威脅，以供進(jìn)一步檢查和采取措施。

人工智能可以協(xié)助用戶和實(shí)體行為分析（UEBA）的特定領(lǐng)域包括：

?帳戶泄露：由人工智能驅(qū)動(dòng)的工具可以檢測(cè)黑客是否訪問(wèn)了網(wǎng)絡(luò)用戶的憑據(jù)，而無(wú)論所使用的攻擊媒介或惡意軟件如何。

?內(nèi)部威脅：通過(guò)建立基準(zhǔn)用戶行為，這些工具將能夠檢測(cè)并標(biāo)記超出該基準(zhǔn)的異常和高風(fēng)險(xiǎn)活動(dòng)。

?特權(quán)帳戶濫用：由人工智能協(xié)助的用戶和實(shí)體行為分析（UEBA）解決方案將通過(guò)檢測(cè)泄露的憑據(jù)和向包含此特權(quán)數(shù)據(jù)的系統(tǒng)的橫向移動(dòng)，來(lái)識(shí)別對(duì)有權(quán)訪問(wèn)敏感信息的特權(quán)用戶的特定攻擊。

不斷改進(jìn)IT安全性

人工智能和機(jī)器學(xué)習(xí)技術(shù)共同為安全團(tuán)隊(duì)提供了很多東西，以尋找更好的方法來(lái)防范和應(yīng)對(duì)網(wǎng)絡(luò)安全威脅。

但是，為了實(shí)現(xiàn)該技術(shù)必須提供的所有功能，安全團(tuán)隊(duì)將需要牢記必須采取的一些關(guān)鍵步驟。這些包括：

?提供基于機(jī)器學(xué)習(xí)的工具，可以實(shí)時(shí)訪問(wèn)大量高質(zhì)量、豐富的結(jié)構(gòu)化數(shù)據(jù)，這些數(shù)據(jù)顯示了整個(gè)組織中與安全相關(guān)的所有事件。

?向工具提供必要場(chǎng)景信息，以了解每個(gè)觀察到的活動(dòng)和檢測(cè)到的異常含義和重要性。

?使用大量高質(zhì)量的培訓(xùn)數(shù)據(jù)進(jìn)行監(jiān)督學(xué)習(xí)，以教育哪些工具有益于活動(dòng)，哪些不利于活動(dòng)。

人工智能和機(jī)器學(xué)習(xí)支持的工具部署和管理得當(dāng)，將為安全團(tuán)隊(duì)提供重要的支持和幫助。他們將檢測(cè)隱藏的威脅并最大程度地減少誤報(bào)，加快事件響應(yīng)速度，簡(jiǎn)化安全運(yùn)營(yíng)中心（SOC）的運(yùn)行，從而降低成本并提高效率。

人工智能和機(jī)器學(xué)習(xí)的發(fā)展才剛剛開(kāi)始，其功能在未來(lái)幾年將繼續(xù)加快發(fā)展。人們值得花費(fèi)時(shí)間了解該技術(shù)的功能以及它如何為組織增加價(jià)值。