返回圖書館
技術指南

網路安全營運中的人工智慧

人工智慧幫助安全團隊篩選數十億個事件,以發現人類可能錯過的攻擊,並越來越自動回應。

概述

人工智慧幫助安全團隊篩選數十億個事件,以發現人類可能錯過的攻擊,並越來越自動回應。這是一把雙面刃,因為攻擊者使用相同的工具來編寫惡意軟體和製作令人信服的網路釣魚。

網路安全營運中的人工智慧是一個技術構建塊,會大規模影響模型品質、基礎設施成本、延遲和可靠性。

深入探討

安全營運中心 (SOC) 淹沒在警報之中,而人工智慧是使洪水易於管理的分類引擎。機器學習模型建立正常行為的基線,然後標記異常情況,例如異常登入時間、網路橫向移動或資料外洩。這為 CrowdStrike、Microsoft 和 Palo Alto 等供應商的使用者和實體行為分析 (UEBA) 以及現代 SIEM 和 XDR 平台提供了支援。人工智慧還可以加速威脅搜尋、惡意軟體分類和網路釣魚偵測。大型語言模型越來越多地充當“安全副駕駛”,總結事件、編寫檢測規則並建議回應步驟。另一方面:對手使用人工智慧產生多態惡意軟體、用於詐騙的深度偽造聲音以及高度客製化的網路釣魚,因此現在是一場人工智慧與人工智慧的軍備競賽。

技術洞察

大部分價值來自異常檢測而不是簽章匹配。模型不是尋找已知的不良模式,而是了解每個使用者、裝置和網路流的「正常」情況,然後對偏差進行評分。技術包括基於存取頻率和位元組量等特徵的聚類、自動編碼器和梯度增強樹。困難的問題是誤報:「狼來了」的吵雜模型會被忽略,因此校準和分析師回饋循環非常重要。

掌握網路安全營運中的人工智慧

人工智慧幫助安全團隊篩選數十億個事件,以發現人類可能錯過的攻擊,並越來越自動回應。這是一把雙面刃,因為攻擊者使用相同的工具來編寫惡意軟體和製作令人信服的網路釣魚。網路安全營運中的人工智慧是一個技術構建塊,會大規模影響模型品質、基礎設施成本、延遲和可靠性。為了建立深入的理解,請將網路安全營運中的人工智慧視為一種操作模型,而不是單一功能:定義期望的結果,澄清假設,並將系統可以可靠地執行的操作與仍需要專家判斷的操作分開。

在實踐中,強大的團隊在網路安全營運中使用人工智慧來根據可靠性和成本優化架構、資料和基礎設施選擇。他們記錄明確的成功標準,根據實際數據和工作流程進行測試,並根據觀察到的失敗模式而不是一次性基準測試勝利進行迭代。這就是理論理解轉變為跨產品、政策和營運的持久能力的地方。

多年來,架構決策決定著效能和營運成本。同時,優化一個基準測試可以隱藏更廣泛的系統弱點。最具彈性的方法是將實驗速度與治理規則結合:運行試點、捕獲證據、發布決策日誌,並隨著模型行為、使用者期望和監管要求的發展不斷更新保障措施。

戰略影響

多年來,架構決策決定著效能和營運成本。

多年來,架構決策決定著效能和營運成本。在高品質部署中,這會轉化為可衡量的操作規則、所有權邊界和定期審查儀式,以便團隊可以增強信心,而不是擴大模糊性。

技術教育幫助團隊選擇正確的堆疊,而不僅僅是最新的堆疊。

技術教育幫助團隊選擇正確的堆疊,而不僅僅是最新的堆疊。在高品質部署中,這會轉化為可衡量的操作規則、所有權邊界和定期審查儀式,以便團隊可以增強信心,而不是擴大模糊性。

更好的工程選擇可以減少生產中的可靠性事故。

更好的工程選擇可以減少生產中的可靠性事故。在高品質部署中,這會轉化為可衡量的操作規則、所有權邊界和定期審查儀式,以便團隊可以增強信心,而不是擴大模糊性。

人工智慧在網路安全營運的未來

預計會有更多的自主回應,人工智慧不僅可以偵測威脅,還可以透過在幾秒鐘內隔離主機或撤銷憑證來遏制威脅,速度比任何人類都快。法學碩士的副駕駛將處理更多的調查繁重工作。同時,防禦者需要保護人工智慧本身免於即時注入、資料中毒和模型竊盜。隨著攻擊者自動化偵察和利用生成,軍備競賽加劇,速度和自適應防禦變得至關重要。

現實世界的實施

UEBA 將凌晨 3 點突然下載 GB 資料的員工帳號標記為可能的內部威脅或違規

CrowdStrike Falcon 等端點偵測工具使用機器學習來識別和阻止新型惡意軟體,無需事先簽名

使用人工智慧的電子郵件安全過濾器來捕獲缺乏已知不良連結或附件的魚叉式網路釣魚

安全副駕駛將多步驟入侵總結為簡單的英語時間表,並為分析師起草遏制步驟

實施模式

網路安全營運中的人工智慧實踐

UEBA 將凌晨 3 點突然下載千兆位元組資料的員工帳號標記為可能的內部威脅或違規。

UEBA 將凌晨 3 點突然下載 GB 資料的員工帳號標記為可能的內部威脅或違規。當團隊預先定義品質閾值、為邊緣情況保留人工升級路徑並追蹤一段時間內的生產力增益和錯誤成本時,通常會獲得更好的結果。

網路安全營運中的人工智慧實踐

CrowdStrike Falcon 等端點偵測工具使用機器學習來識別和阻止新型惡意軟體,無需事先簽署。

CrowdStrike Falcon 等端點偵測工具使用機器學習來識別和阻止無需事先簽署的新型惡意軟體。當團隊預先定義品質閾值、為邊緣情況保留人工升級路徑並追蹤一段時間內的生產力提升和錯誤成本時,通常會獲得更好的結果。

網路安全營運中的人工智慧實踐

電子郵件安全過濾器使用人工智慧來捕獲缺乏已知不良連結或附件的魚叉式網路釣魚。

電子郵件安全過濾器使用人工智慧來捕獲缺乏已知不良連結或附件的魚叉式網路釣魚。當團隊預先定義品質閾值、為邊緣情況保留人工升級路徑並追蹤一段時間內的生產力提升和錯誤成本時,通常會獲得更好的結果。

網路安全營運中的人工智慧實踐

安全副駕駛將多步驟入侵總結為簡單的英語時間表,並為分析師起草遏制步驟。

安全副駕駛將多步驟入侵總結為簡單的英語時間表,並為分析師起草遏制步驟。當團隊預先定義品質閾值、為邊緣情況保留人工升級路徑並隨著時間的推移追蹤生產力增益和錯誤成本時,通常會得到更好的結果。

風險與防護欄

!

優化一項基準測試可以隱藏更廣泛的系統弱點。

!

基礎設施和維護成本常常被低估。

!

隨著系統變得更加複雜,安全性和可觀察性差距可能會擴大。

實施路線圖

1

在實施之前定義延遲、品質和成本目標。

在實施之前定義延遲、品質和成本目標。將每個步驟視為證據門:如果不符合標準,則暫停推出,縮小差距,然後再擴大使用。

2

在實際負載和資料條件下進行基準測試。

在實際負載和資料條件下進行基準測試。將每個步驟視為證據門:如果不符合標準,則暫停推出,縮小差距,然後再擴大使用。

3

儀器監控錯誤、漂移和使用者影響。

儀器監控錯誤、漂移和使用者影響。將每個步驟視為證據門:如果不符合標準,則暫停推出,縮小差距,然後再擴大使用。

4

在擴展之前準備回滾和事件回應路徑。

在擴展之前準備回滾和事件回應路徑。將每個步驟視為證據門:如果不符合標準,則暫停推出,縮小差距,然後再擴大使用。

不斷探索

人工智慧基準

在比較技術選項時正確使用評估。

閱讀指南

強化學習

更深入了解技術培訓策略。

閱讀指南