返回图书馆
技术指南

网络安全运营中的人工智能

人工智能帮助安全团队筛选数十亿个事件,以发现人类可能错过的攻击,并越来越多地自动响应。

概述

人工智能帮助安全团队筛选数十亿个事件,以发现人类可能错过的攻击,并越来越多地自动响应。这是一把双刃剑,因为攻击者使用相同的工具来编写恶意软件和制作令人信服的网络钓鱼。

网络安全运营中的人工智能是一个技术构建块,会大规模影响模型质量、基础设施成本、延迟和可靠性。

深入探讨

安全运营中心 (SOC) 淹没在警报之中,而人工智能是使洪水易于管理的分类引擎。机器学习模型建立正常行为的基线,然后标记异常情况,例如异常登录时间、网络横向移动或数据泄露。这为 CrowdStrike、Microsoft 和 Palo Alto 等供应商的用户和实体行为分析 (UEBA) 以及现代 SIEM 和 XDR 平台提供了支持。人工智能还可以加速威胁搜寻、恶意软件分类和网络钓鱼检测。大型语言模型越来越多地充当“安全副驾驶”,总结事件、编写检测规则并建议响应步骤。另一方面:对手使用人工智能生成多态恶意软件、用于欺诈的深度伪造声音以及高度定制的网络钓鱼,因此现在是一场人工智能与人工智能的军备竞赛。

技术洞察

大部分价值来自异常检测而不是签名匹配。模型不是寻找已知的不良模式,而是了解每个用户、设备和网络流的“正常”情况,然后对偏差进行评分。技术包括基于访问频率和字节量等特征的聚类、自动编码器和梯度增强树。困难的问题是误报:“狼来了”的嘈杂模型会被忽略,因此校准和分析师反馈循环非常重要。

掌握网络安全运营中的人工智能

人工智能帮助安全团队筛选数十亿个事件,以发现人类可能错过的攻击,并越来越多地自动响应。这是一把双刃剑,因为攻击者使用相同的工具来编写恶意软件和制作令人信服的网络钓鱼。网络安全运营中的人工智能是一个技术构建块,会大规模影响模型质量、基础设施成本、延迟和可靠性。为了建立深入的理解,请将网络安全运营中的人工智能视为一种操作模型,而不是单一功能:定义期望的结果,澄清假设,并将系统可以可靠地执行的操作与仍需要专家判断的操作分开。

在实践中,强大的团队在网络安全运营中使用人工智能来根据可靠性和成本优化架构、数据和基础设施选择。他们记录明确的成功标准,根据实际数据和工作流程进行测试,并根据观察到的失败模式而不是一次性基准测试胜利进行迭代。这就是理论理解转变为跨产品、政策和运营的持久能力的地方。

多年来,架构决策决定着性能和运营成本。与此同时,优化一个基准测试可以隐藏更广泛的系统弱点。最具弹性的方法是将实验速度与治理规则结合起来:运行试点、捕获证据、发布决策日志,并随着模型行为、用户期望和监管要求的发展不断更新保障措施。

战略影响

多年来,架构决策决定着性能和运营成本。

多年来,架构决策决定着性能和运营成本。在高质量部署中,这会转化为可衡量的操作规则、所有权边界和定期审查仪式,以便团队可以增强信心,而不是扩大模糊性。

技术教育帮助团队选择正确的堆栈,而不仅仅是最新的堆栈。

技术教育帮助团队选择正确的堆栈,而不仅仅是最新的堆栈。在高质量部署中,这会转化为可衡量的操作规则、所有权边界和定期审查仪式,以便团队可以增强信心,而不是扩大模糊性。

更好的工程选择可以减少生产中的可靠性事故。

更好的工程选择可以减少生产中的可靠性事故。在高质量部署中,这会转化为可衡量的操作规则、所有权边界和定期审查仪式,以便团队可以增强信心,而不是扩大模糊性。

人工智能在网络安全运营中的未来

预计会有更多的自主响应,人工智能不仅可以检测威胁,还可以通过在几秒钟内隔离主机或撤销凭证来遏制威胁,速度比任何人类都快。法学硕士的副驾驶将处理更多的调查繁重工作。与此同时,防御者需要保护人工智能本身免遭即时注入、数据中毒和模型盗窃。随着攻击者自动化侦察和利用生成,军备竞赛加剧,速度和自适应防御变得至关重要。

现实世界的实施

UEBA 将凌晨 3 点突然下载 GB 数据的员工帐户标记为可能的内部威胁或违规

CrowdStrike Falcon 等端点检测工具使用机器学习来识别和阻止新型恶意软件,无需事先签名

使用人工智能的电子邮件安全过滤器来捕获缺乏已知不良链接或附件的鱼叉式网络钓鱼

安全副驾驶将多步骤入侵总结为简单的英语时间表,并为分析师起草遏制步骤

实施模式

网络安全运营中的人工智能实践

UEBA 将凌晨 3 点突然下载千兆字节数据的员工帐户标记为可能的内部威胁或违规。

UEBA 将凌晨 3 点突然下载 GB 数据的员工帐户标记为可能的内部威胁或违规。当团队预先定义质量阈值、为边缘情况保留人工升级路径并跟踪一段时间内的生产力增益和错误成本时,通常会获得更好的结果。

网络安全运营中的人工智能实践

CrowdStrike Falcon 等端点检测工具使用机器学习来识别和阻止新型恶意软件,无需事先签名。

CrowdStrike Falcon 等端点检测工具使用机器学习来识别和阻止无需事先签名的新型恶意软件。当团队预先定义质量阈值、为边缘情况保留人工升级路径并跟踪一段时间内的生产力提升和错误成本时,通常会获得更好的结果。

网络安全运营中的人工智能实践

电子邮件安全过滤器使用人工智能来捕获缺乏已知不良链接或附件的鱼叉式网络钓鱼。

电子邮件安全过滤器使用人工智能来捕获缺乏已知不良链接或附件的鱼叉式网络钓鱼。当团队预先定义质量阈值、为边缘情况保留人工升级路径并跟踪一段时间内的生产力提升和错误成本时,通常会获得更好的结果。

网络安全运营中的人工智能实践

安全副驾驶将多步骤入侵总结为简单的英语时间表,并为分析师起草遏制步骤。

安全副驾驶将多步骤入侵总结为简单的英语时间表,并为分析师起草遏制步骤。当团队预先定义质量阈值、为边缘情况保留人工升级路径并随着时间的推移跟踪生产力增益和错误成本时,通常会得到更好的结果。

风险与防护栏

!

优化一项基准测试可以隐藏更广泛的系统弱点。

!

基础设施和维护成本常常被低估。

!

随着系统变得更加复杂,安全性和可观察性差距可能会扩大。

实施路线图

1

在实施之前定义延迟、质量和成本目标。

在实施之前定义延迟、质量和成本目标。将每个步骤视为证据门:如果不满足标准,则暂停推出,缩小差距,然后再扩大使用。

2

在实际负载和数据条件下进行基准测试。

在实际负载和数据条件下进行基准测试。将每个步骤视为证据门:如果不满足标准,则暂停推出,缩小差距,然后再扩大使用。

3

仪器监控错误、漂移和用户影响。

仪器监控错误、漂移和用户影响。将每个步骤视为证据门:如果不满足标准,则暂停推出,缩小差距,然后再扩大使用。

4

在扩展之前准备回滚和事件响应路径。

在扩展之前准备回滚和事件响应路径。将每个步骤视为证据门:如果不满足标准,则暂停推出,缩小差距,然后再扩大使用。

不断探索

人工智能基准

在比较技术选项时正确使用评估。

阅读指南

强化学习

更深入地了解技术培训策略。

阅读指南