Skybox Security公司产品营销主管Peter Margaris对消除网络安全中有关人工智能(AI)的误区进行了分析与探讨。
人工智能并不是保持企业基础设施完全安全的灵丹妙药。
人们一直认为,人工智能(AI)可以作为对不断发展中的威胁形势的“灵丹妙药”,这是人们不断寻求能够自动进行威胁检测和响应而无需人工干预的技术的根源。凯捷公司甚至在去年关于人工智能和网络安全的调查报告中声称,接受调查的企业高管中,69%的受访者认为人工智能对于应对网络威胁至关重要。尽管有希望,但应以敏锐的眼光对待网络安全中的人工智能。
通常,当企业讨论人工智能的前景以及当前的功能时,现实情况是他们正在练习机器学习。机器学习算法通常被视为人工智能的一个子集,它基于样本数据构建数学模型,以检测识别攻击变体的行为模式,并进行预测或决策而无需进行明确的编程。在网络安全领域,机器学习技术最适用于各种检测和响应技术,并在SIEM、EDR、XDR和沙盒解决方案中得到利用。虽然在这些用例中很有价值,但是当这种机器学习功能被吹捧为人工智能时,就成为问题。人工智能进一步扩展到涵盖感知环境的设备,并采取能够最大程度地成功实现其目标的设备,从而模仿人类与人类思维相关联的“认知”智能,例如解决问题。
在评估人工智能的真正可能性、技术的当前局限性以及安全计划战略和资源的重点放在哪里时,记住这些差异是很重要的。
人工智能的局限性
有一种趋势认为,人工智能可以解决与企业安全计划相关的所有问题。虽然人工智能有很多好处,但存在这样的危险,即企业对技术可以提供的功能过于乐观。当利用正确的用例时,人工智能可以使安全团队摆脱永无止境的“检测-响应-补救-重新编程”循环,朝着更加主动、更有效的安全方法。但是,如果企业在投资人工智能的信念是可以填补由于持续的网络安全技能危机而无法填补的资源缺口,那么就大错特错了。
人工智能工具所需的人机界面水平非常重要。人工智能无法阻止零日攻击或任何高级威胁,已知会带来误报,并且它还无法足够迅速地学习以跟上恶意软件发展的瓶颈速度。如果该技术具有机器学习功能,则最好研究该解决方案是否使用基于规则的编程而不是智能机器学习算法。
如果在没有规定流程和资源计划的情况下部署人工智能,则威胁可能会越过未发现的漏洞。而且,资源调配计划将需要进行大量的繁重工作以确保其正常运行,这些工具最终可能会使用比企业愿意并能够节省的资源更多的资源。部署之后,人工智能网络安全工具的编程不正确也是可行的。在某些情况下,这可能会导致算法无法发现恶意活动,从而最终破坏整个公司。如果人工智能由于未正确考虑某些参数而错过了某种类型的网络攻击,那么不可避免的问题将会越来越严重。
自动化产生效率,人工智能造成资源消耗
不应该使用人工智能来弥补差距。如果部署该技术的组织没有完美的基础安全性,它将很难解决现有的网络安全问题。在企业为摆脱经济衰退而进行的预算受到严格审查的时候,正是可以将技术直接视为“奢侈品”的技术。人工智能声称要解决的许多问题仍然存在,并且经验丰富的安全分析人员可以通过适当的场景和对攻击面的洞察力做出有影响力的决策,而人工智能仍无法取代它们。组织仍然面临众多复杂性的挑战。例如,大量新漏洞涌入,预计到年底还会出现另外20,000个新的已知漏洞。随着这些漏洞的数量不断增加,将来的攻击是不可避免的,但是在许多情况下,如果安装了正确的协议,这是可以避免的。为了解决这个问题,企业需要引入更有效的补救策略,并对分散的环境有更多的了解,以便他们可以建立安全性程序,从而使其具有竞争优势。
尽管人工智能可能会占用大量时间和资源,但还有更有效的方法来解决这些紧迫的问题。自动化流程(例如变更管理)将减轻已经不堪重负的团队的工作量。引入自动化将释放资源,并能够开发更加考虑的网络安全功能。
能够以多种有用的方式使用场景感知自动化工具。他们可以清理和优化防火墙,发现违反策略的情况,无需扫描即可评估漏洞,将漏洞与威胁进行匹配,模拟端到端访问和攻击,主动评估规则更改等。有了合适的工具,所有这些流程都可以自动化,组织可以开发更有效,更明智的工作方式。尽管人工智能所承诺的巨大飞跃可能会吸引人,但像分析驱动的自动化所提供的这些进步将带来最大的实际收益。
如今的自动化,未来的人工智能
目前,不要被人工智能迷惑。就目前而言,该技术的概念不符合当前市场上的解决方案。但是,完全有理由相信组织将改善其基础安全性,而人工智能技术无疑将发展到可以实现其宏伟承诺的水平。并不是应该彻底摒弃的技术-它将在未来发挥重要作用。
但是,无论是在财务支出还是时间上,现在都不是进行风险投资的时候。在当前环境中,企业需要研究如何以一种真正的、有基础的和有价值的方式加强其安全态势。当资源紧缺且复杂性充斥时,场景文感知自动化是当今的答案。