在七月,华尔街经历了自2022年以来最糟糕的一天,以科技为主的纳斯达克指数下跌了3.6%。此次下跌主要由于一些主要科技公司的业绩未达到预期,评论人士认为这是引发市场波动的原因。值得注意的是,受此次下跌打击最严重的公司,往往是那些在AI领域投入大量资金的企业。
尽管AI引发了大量投资和乐观预期,但越来越多的人开始担忧其能力可能被过度夸大。科技股的下跌凸显了决策者们面临的巨大压力,要求他们证明AI能真正实现其预期目标。
对于首席信息安全官(CISO)而言,这种压力尤为显著,他们现在的任务不仅是确保AI驱动的举措能加强网络安全,还要展示出可以向公司高层和董事会传达的可量化成果。
网络安全尤其能够从AI的能力中受益,AI的机器学习算法能够帮助检测用户行为中的异常,这在当今快速变化的威胁环境中是至关重要的。事实上,一项最新研究发现,78%的CISO已经在某种程度上利用AI来支持其安全团队的工作。
然而,正如任何发展中的技术一样,AI的应用需要保持适当的怀疑态度。为了确保对AI的投资能够带来实际成果,CISO在将AI整合到其网络安全策略中之前,必须自问三个关键问题。
1. AI的应用在哪些领域最有意义?
在实施AI之前,确定它可以在哪些领域产生最大的影响是至关重要的。
尽管许多从业者希望将AI整合到威胁检测和响应中,但了解其局限性同样重要。大型语言模型(LLMs)在分析检测日志并提供高级响应指导方面可能非常有用,然而,威胁环境的动态特性带来了挑战:威胁行为者也在使用AI,他们演化的速度往往超过了现有的威胁识别系统。
为了跟上威胁行为者的步伐,AI可以在某些领域产生显著且即时的影响,尤其是在自动化处理安全团队当前大量耗时的重复性任务上。例如,AI驱动的见解和指导可以帮助安全运营中心(SOC)的分析师更快地分流警报,减轻工作负担,使他们能够集中精力处理更复杂的威胁。通过利用AI提升SOC中的分析师,CISO可以释放团队资源,专注于高优先级问题,提升整体效率和响应速度。
2. 我的用例中AI的有效性有证据支持吗?
并非所有的用例都能同样有效,在尝试更具创新性的应用之前,依赖经过验证的应用会更安全。
例如,安全信息和事件管理(SIEM)系统长期以来一直使用AI和机器学习进行行为分析。基于机器学习的用户和实体行为分析(UEBA)系统在检测可能表明安全威胁的异常活动方面表现出色,如内部攻击、账户被盗或未经授权的访问。
这些系统通过分析大量的历史数据来建立用户和实体的行为基准,并持续监控实时活动是否偏离常规。
通过专注于像UEBA这样成熟的AI应用,CISO可以确保其AI投资带来价值,同时降低风险。
3. 提供给AI模型的数据质量如何?
AI成功的一个关键因素是提供给模型的数据质量。AI模型的表现取决于其消耗的数据质量,如果没有准确、完整且经过丰富处理的数据,AI系统可能会产生有缺陷的结果。
在网络安全领域,威胁不断演变,为AI系统提供涵盖攻击面上下文、详细日志、警报和异常活动的多样化数据集至关重要。
然而,像API这样的新兴攻击面带来了独特的挑战。API安全成为黑客的主要目标,因为API经常传输敏感信息。虽然传统的Web应用防火墙(WAF)过去可能足以保护API,但如今的威胁行为者已经开发出更复杂的技术来突破外围防御。不幸的是,由于API安全是一个相对较新的领域,这一攻击面很少被监控,更糟糕的是,它通常不包含在AI的威胁分析中。
由于成功取决于高质量数据的可用性,AI可能尚未成为应对诸如API等尚未成熟或正在兴起的攻击面的最佳解决方案,因为这些领域的基础安全实践可能仍在发展。在这种情况下,CISO必须认识到,即使是最先进的AI算法也无法弥补基础安全措施和可靠数据的缺乏。
结论
AI在改变网络安全方面具有巨大的潜力,但它并非万能。通过提出有关AI在哪些领域可以创造最大价值的关键问题,依赖经过验证的用例,并确保获得高质量的数据,CISO可以做出明智的决策,决定如何以及何时将AI整合到其网络安全策略中。在一个机遇和威胁都快速演变的环境中,AI实施的战略性方法将成为成功的关键。
