現(xiàn)代網(wǎng)絡(luò)安全取決于兩個因素：發(fā)現(xiàn)真正的威脅，并在其損害企業(yè)之前將其消除。理論上，這聽起來很簡單，但將這些因素付諸實踐則完全是另一回事。

日益復(fù)雜的基礎(chǔ)設(shè)施、依賴關(guān)系和訪問需求，催生出新的、更微妙的攻擊向量，這些向量可能被攻破。軟件發(fā)布、補丁和更新后，零日攻擊頻頻出現(xiàn)。人為錯誤以及惡意軟件感染的下載、可疑網(wǎng)站和網(wǎng)絡(luò)釣魚攻擊帶來的社會剝削，始終令人擔(dān)憂。即使是服務(wù)器和物聯(lián)網(wǎng)設(shè)備等新硬件，出廠時也預(yù)裝了潛在的漏洞。與此同時，企業(yè)面臨的潛在后果比以往任何時候都要嚴(yán)重，需要解決的合規(guī)性和法律問題也日益多樣化。

傳統(tǒng)的安全方法往往不足以應(yīng)對最新出現(xiàn)的威脅。

現(xiàn)代人工智能技術(shù)正在迅速崛起，能夠提供快速的威脅檢測、準(zhǔn)確的威脅判定、即時響應(yīng)以有效應(yīng)對威脅，并實時適應(yīng)不斷變化的威脅。人工智能還可以主動分析漏洞和活動，以預(yù)測并預(yù)防潛在的攻擊。網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施化解的每一個威脅，都能為企業(yè)節(jié)省大量成本。

什么是人工智能威脅檢測？

人工智能驅(qū)動的威脅檢測涉及網(wǎng)絡(luò)安全系統(tǒng)的創(chuàng)建、訓(xùn)練、部署和管理，以加速準(zhǔn)確的威脅檢測和緩解。此類系統(tǒng)使用機器學(xué)習(xí) (ML) 分析整個企業(yè)的大量活動數(shù)據(jù)。ML 算法分析涉及的活動數(shù)據(jù)可以包括以下內(nèi)容：

• 網(wǎng)絡(luò)流量模式和數(shù)據(jù)包有效載荷。
• 應(yīng)用程序或其他配置效果。
• 數(shù)據(jù)訪問和內(nèi)容效果。
• 用戶行為。

人工智能威脅檢測的關(guān)鍵在于機器學(xué)習(xí)的分析能力。實際上，人工智能威脅檢測能夠?qū)W習(xí)環(huán)境中的正常（或允許的）行為，理解一系列現(xiàn)有威脅，并尋找與歷史基線的偏差或異常。這些差異或異常有時過于細(xì)微，傳統(tǒng)安全工具無法檢測到，卻可能預(yù)示著潛在的惡意活動。

一旦機器學(xué)習(xí)算法發(fā)現(xiàn)潛在威脅，網(wǎng)絡(luò)安全平臺的人工智能層就可以自動自主采取行動。人工智能響應(yīng)可以包括以下內(nèi)容：

• 拒絕訪問數(shù)據(jù)或應(yīng)用程序。
• 禁止對數(shù)據(jù)或應(yīng)用程序進(jìn)行未經(jīng)授權(quán)的更改。
• 停止網(wǎng)絡(luò)流量或用戶訪問。
• 創(chuàng)建詳細(xì)的異常日志。
• 通知安全團(tuán)隊進(jìn)行進(jìn)一步調(diào)查。

人工智能驅(qū)動的威脅檢測還可以隨著時間的推移不斷改進(jìn)和完善其決策。它可以從歷史數(shù)據(jù)中學(xué)習(xí)——定期更新活動基線并調(diào)整警報以適應(yīng)不斷變化的正常活動水平。它還可以從人工反饋中學(xué)習(xí)，使安全團(tuán)隊能夠響應(yīng)人工智能生成的警報，并利用人工判斷進(jìn)一步完善警報和響應(yīng)。例如，如果 X 活動看起來可疑，并且人類專家確定 Y 是合適的響應(yīng)，則相應(yīng)地調(diào)整對 X 活動的未來響應(yīng)。

人工智能威脅檢測的優(yōu)勢

人工智能驅(qū)動的威脅檢測提供了許多商業(yè)優(yōu)勢，包括：

• 速度更快。機器學(xué)習(xí)因其快速處理和分析海量信息的能力而備受認(rèn)可。這使得機器學(xué)習(xí)能夠快速學(xué)習(xí)并快速檢測威脅，這對于緩解現(xiàn)代安全威脅至關(guān)重要。人工智能還可以快速采取行動，對感知到的威脅做出適當(dāng)?shù)捻憫?yīng)，并提醒安全團(tuán)隊進(jìn)行更深入的評估。
• 更高程度的自動化。人工智能驅(qū)動的威脅檢測充分利用了自動化功能，使安全平臺能夠快速自主地采取行動。人工智能平臺可以處理威脅檢測以及漏洞分析、補丁管理和事件響應(yīng)。這使得人類安全人員能夠?qū)Ｗ⒂诒O(jiān)控環(huán)境、關(guān)注實際事件，并考慮更具戰(zhàn)略性的活動，而不是持續(xù)的警報“救火”。
• 更高的準(zhǔn)確性。機器學(xué)習(xí)為商業(yè)分析帶來的準(zhǔn)確性和洞察力，同樣適用于網(wǎng)絡(luò)安全。人工智能驅(qū)動的威脅檢測能夠洞察模式，并發(fā)現(xiàn)傳統(tǒng)工具可能遺漏的異常。此外，人工智能可以降低誤報率，從而增強對威脅存在和響應(yīng)的信心。
• 主動威脅管理。機器學(xué)習(xí)分析提供的分析和洞察可以在攻擊發(fā)生之前識別潛在的漏洞和可能的攻擊媒介。它甚至可以預(yù)測可能的攻擊。這使得安全專業(yè)人員能夠主動（而非被動）地預(yù)防威脅并增強安全態(tài)勢。
• 自適應(yīng)行為。人工智能驅(qū)動的威脅檢測平臺可以從分析數(shù)據(jù)、不斷變化的環(huán)境和人類安全響應(yīng)中學(xué)習(xí)。這使得機器學(xué)習(xí)模型和人工智能響應(yīng)能夠隨著時間的推移不斷改進(jìn)。它還能適應(yīng)各個企業(yè)獨特的風(fēng)險承受能力、安全需求和響應(yīng)要求。
• 一致的響應(yīng)。人工智能驅(qū)動的威脅檢測減少了對人類判斷和響應(yīng)的依賴。這可以減少人為錯誤的重大影響，并確保對威脅做出更可預(yù)測和一致的響應(yīng)。這有利于業(yè)務(wù)連續(xù)性和法規(guī)遵從性。

人工智能如何用于企業(yè)威脅檢測

AI在數(shù)據(jù)分析和自適應(yīng)工作流自動化方面展現(xiàn)出了非凡的能力。這些能力正受到 AI 設(shè)計人員的青睞，并已在各種 AI 驅(qū)動的網(wǎng)絡(luò)安全工具中得到應(yīng)用，其中包括：

• 攻擊模擬。生成式人工智能可以制定并發(fā)起針對組織的模擬攻擊。這使得網(wǎng)絡(luò)安全專家能夠測試現(xiàn)有的防御措施，發(fā)現(xiàn)并驗證潛在的漏洞，并通過壓力測試和進(jìn)一步訓(xùn)練人工智能驅(qū)動的威脅檢測系統(tǒng)來增強威脅檢測模型。
• 網(wǎng)絡(luò)安全。 網(wǎng)絡(luò)檢測和響應(yīng)系統(tǒng)使用人工智能來監(jiān)控網(wǎng)絡(luò)流量，分析流量來源和模式，檢查網(wǎng)絡(luò)數(shù)據(jù)包有效載荷，并識別可能規(guī)避傳統(tǒng)網(wǎng)絡(luò)安全工具的復(fù)雜而隱蔽的威脅。
• 端點安全。端點檢測和響應(yīng) ( EDR ) 系統(tǒng)使用人工智能來管理筆記本電腦、臺式機和其他設(shè)備等端點設(shè)備。EDR 系統(tǒng)可以分析設(shè)備活動和用戶行為模式，以檢測并響應(yīng)潛在威脅或惡意活動。
• 基礎(chǔ)設(shè)施安全。安全信息和事件管理 ( SIEM ) 系統(tǒng)使用人工智能 (AI) 分析來自硬件和應(yīng)用程序的安全日志。通過學(xué)習(xí)正常行為并了解常見異常，SIEM 平臺可以快速分析和識別整個企業(yè)基礎(chǔ)設(shè)施中發(fā)生的潛在威脅。
• 物理安全。物理威脅（例如設(shè)備篡改或盜竊）通常被忽視為網(wǎng)絡(luò)安全威脅。人工智能驅(qū)動的圖像和視頻分析可以識別面部或其他生物特征，基于生物特征驗證角色或訪問權(quán)限，并在有人行為不當(dāng)時向安全人員發(fā)出警報。

如何實施人工智能威脅檢測系統(tǒng)

每個企業(yè)及其需求各不相同，因此沒有單一的方法可以將人工智能驅(qū)動的威脅檢測系統(tǒng)部署到企業(yè)安全基礎(chǔ)設(shè)施中。正確的實施需要戰(zhàn)略規(guī)劃、技術(shù)知識和持續(xù)改進(jìn)。然而，有一些重要的指導(dǎo)原則可以幫助改善實施結(jié)果，包括：

• 以終為始。任何項目都需要一個目標(biāo)。確定企業(yè)必須使用人工智能系統(tǒng)應(yīng)對的威脅類型，以及人工智能系統(tǒng)的預(yù)期目標(biāo)（例如自動識別和緩解威脅），并為人工智能系統(tǒng)設(shè)定適當(dāng)?shù)姆秶?
• 定義成功。思考定義成功實施AI系統(tǒng)的標(biāo)準(zhǔn)。這可能涉及一系列相關(guān)指標(biāo)的選擇——例如檢測到的威脅、緩解的威脅，甚至是兩者的比率。這些指標(biāo)通常可以在AI系統(tǒng)的管理儀表板中配置和顯示。任何偏離成功標(biāo)準(zhǔn)的情況都可以為部署后進(jìn)一步調(diào)查和系統(tǒng)改進(jìn)提供依據(jù)。
• 選擇人工智能系統(tǒng)。必須構(gòu)建或選擇合適的人工智能威脅檢測系統(tǒng)——通常需要經(jīng)過仔細(xì)的比較、評估和概念驗證 (PoC) 試驗?？梢愿鶕?jù)異常檢測、模式識別或行為分析等檢測能力來選擇人工智能系統(tǒng)。此外，還可以選擇能夠與現(xiàn)有安全基礎(chǔ)設(shè)施良好集成或與其他傳統(tǒng)安全工具協(xié)同使用的系統(tǒng)。
• 組織和準(zhǔn)備訓(xùn)練數(shù)據(jù)。人工智能系統(tǒng)需要訓(xùn)練，因此識別、收集和準(zhǔn)備所需數(shù)據(jù)（包括系統(tǒng)、網(wǎng)絡(luò)和用戶活動日志）至關(guān)重要。與大多數(shù)人工智能訓(xùn)練一樣，數(shù)據(jù)需要清洗、規(guī)范化和轉(zhuǎn)換，以創(chuàng)建統(tǒng)一的格式和內(nèi)容。訪問和準(zhǔn)備訓(xùn)練數(shù)據(jù)時，請務(wù)必遵守所有數(shù)據(jù)保護(hù)和隱私準(zhǔn)則。
• 訓(xùn)練并驗證人工智能。使用準(zhǔn)備好的訓(xùn)練數(shù)據(jù)來訓(xùn)練人工智能系統(tǒng)的機器學(xué)習(xí)模型。這可能需要一些時間和精力。通過檢查其準(zhǔn)確性和性能來驗證訓(xùn)練好的模型。監(jiān)控模型的持續(xù)性能，并根據(jù)新的威脅或基線需求定期更新訓(xùn)練。
• 部署人工智能。一旦訓(xùn)練并驗證完畢，人工智能系統(tǒng)即可投入生產(chǎn)。這通常需要與其他安全工具（例如 SIEM 平臺或入侵檢測/防御系統(tǒng)）進(jìn)行一定程度的集成。制定一個易于理解的回滾計劃。務(wù)必仔細(xì)配置人工智能，并開發(fā)合適的警報和自動化工作流程，以處理人工智能訓(xùn)練識別的任何威脅。這可能需要一段時間的測試或藍(lán)綠部署，以確保人工智能按預(yù)期運行。
• 監(jiān)控并更新人工智能。部署后，應(yīng)持續(xù)監(jiān)控人工智能系統(tǒng)，以確保其正常運行，并識別潛在的改進(jìn)領(lǐng)域——例如改進(jìn)自動化工作流程或提高某些威脅識別的準(zhǔn)確性。任何人工智能都需要定期更新模型——隨著條件和威脅的演變，保留并重置新的基準(zhǔn)。
• 培訓(xùn)安全人員。人工智能驅(qū)動的威脅檢測旨在補充而非取代人類安全團(tuán)隊。務(wù)必為員工提供全面的人工智能工具及其使用培訓(xùn)，例如創(chuàng)建自動化工作流程和人工智能訓(xùn)練程序。人工智能系統(tǒng)應(yīng)該是可解釋的，員工應(yīng)該清楚地理解人工智能是如何做出決策的。

人工智能威脅檢測系統(tǒng)的挑戰(zhàn)和局限性

盡管人工智能驅(qū)動的威脅檢測具有諸多優(yōu)勢和功能，但它仍面臨著一些挑戰(zhàn)，企業(yè)和技術(shù)領(lǐng)導(dǎo)者在實施之前應(yīng)該仔細(xì)考慮這些挑戰(zhàn)，尤其是在網(wǎng)絡(luò)安全等關(guān)鍵任務(wù)領(lǐng)域。常見的挑戰(zhàn)和局限性包括：

• 數(shù)據(jù)隱私。人工智能訪問、存儲和分析海量數(shù)據(jù)。這些數(shù)據(jù)通常對企業(yè)而言非常敏感，并且可能包含用戶的個人身份信息。存儲、訪問、使用和傳輸這些海量數(shù)據(jù)的方式必須遵守現(xiàn)行的監(jiān)管義務(wù)和立法框架。強有力的數(shù)據(jù)保護(hù)和保留政策必不可少。
• 合乎道德的使用。與數(shù)據(jù)隱私挑戰(zhàn)一樣，人工智能驅(qū)動的威脅檢測系統(tǒng)生成、訪問和使用的數(shù)據(jù)必須僅由授權(quán)人員用于可接受的商業(yè)目的。必須防止將安全數(shù)據(jù)和分析用于其他目的，例如查找和利用商業(yè)競爭對手的漏洞。
• 可解釋性。所有人工智能面臨的一個持續(xù)挑戰(zhàn)是可解釋性——即理解人工智能實際運作方式以及如何利用數(shù)據(jù)進(jìn)行決策所需的透明度。可解釋性能夠建立信任，并讓企業(yè)展現(xiàn)對人工智能平臺的信心。缺乏可解釋性會削弱企業(yè)領(lǐng)導(dǎo)者、員工、合作伙伴、用戶和其他利益相關(guān)者的信任。
• 偏見。機器學(xué)習(xí)算法可能強大而有效，但它們的優(yōu)劣取決于用于訓(xùn)練它們的數(shù)據(jù)。訓(xùn)練數(shù)據(jù)中的偏見可能導(dǎo)致人工智能做出不準(zhǔn)確、不公平或歧視性的決策。負(fù)責(zé)構(gòu)建和訓(xùn)練人工智能系統(tǒng)的數(shù)據(jù)科學(xué)家和開發(fā)者必須仔細(xì)篩選訓(xùn)練數(shù)據(jù)，以消除潛在的偏見，因為偏見可能會影響評估結(jié)果。
• 人工智能攻擊者。雖然生成式人工智能可以用來模擬攻擊，但惡意行為者也可以使用人工智能工具發(fā)起真實攻擊，查找并利用漏洞。一些人工智能攻擊機制可以用來欺騙人工智能驅(qū)動的威脅檢測系統(tǒng)。網(wǎng)絡(luò)安全專家必須警惕人工智能工具被武器化。

如何評估人工智能威脅檢測解決方案

除了成本、支持和易用性等日常問題外，首席信息安全官 (CISO) 及其團(tuán)隊在采用人工智能威脅檢測系統(tǒng)之前，還應(yīng)仔細(xì)評估其關(guān)鍵要素。CISO 可能會尋求以下常見問題的解答：

• 系統(tǒng)會檢測哪些類型的威脅？首先要考慮需要檢測哪些威脅，然后考慮能夠應(yīng)對這些威脅的工具。常見的威脅類型包括惡意軟件、網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)入侵、內(nèi)部攻擊、系統(tǒng)和用戶行為分析、異常檢測和模式識別。
• 該系統(tǒng)的性能特點是什么？確定平臺的具體特性和功能——例如有效的實時威脅檢測和緩解、培訓(xùn)選項和要求、改進(jìn)學(xué)習(xí)和適應(yīng)新威脅或變化威脅的能力，以及擴(kuò)展以處理更大量安全或威脅數(shù)據(jù)的能力。
• 系統(tǒng)的準(zhǔn)確性如何？即使是最好的人工智能威脅檢測系統(tǒng)也并非完美無缺。評估平臺的準(zhǔn)確性。這可能需要部署概念驗證 (PoC)，以確定平臺能否發(fā)現(xiàn)并阻止所需的威脅類型。此外，平臺應(yīng)盡量減少誤報。考慮新算法的發(fā)布或更新頻率。
• 該系統(tǒng)是否與現(xiàn)有的安全基礎(chǔ)設(shè)施集成？考慮一下人工智能驅(qū)動的威脅檢測系統(tǒng)與現(xiàn)有基礎(chǔ)設(shè)施（尤其是惡意軟件檢測、防火墻、端點安全和 SIEM 工具等現(xiàn)有安全工具）的互操作性。避免使用需要對安全基礎(chǔ)設(shè)施其他元素進(jìn)行根本性改變的系統(tǒng)。
• 系統(tǒng)可以自動化多少工作？人工智能驅(qū)動的威脅檢測的核心部分是減少安全團(tuán)隊的工作量。想想人工智能系統(tǒng)可以自動化多少任務(wù)，包括威脅檢測和自主實時響應(yīng)。依賴人工監(jiān)督的人工智能系統(tǒng)并沒有充分利用人工智能的能力。
• 系統(tǒng)如何通信？即使是功能最強大、自主性最高的安全系統(tǒng)也必須傳達(dá)警報、生成報告并向安全團(tuán)隊提供適當(dāng)?shù)纳舷挛男畔?。評估人工智能驅(qū)動的威脅檢測系統(tǒng)如何生成、確定優(yōu)先級并向分析師發(fā)送警報。
• 系統(tǒng)是否保持合規(guī)？考慮人工監(jiān)督對人工智能系統(tǒng)的作用，并確保系統(tǒng)能夠支持業(yè)務(wù)連續(xù)性和監(jiān)管合規(guī)義務(wù)。

Informa TechTarget 高級技術(shù)編輯 Stephen J. Bigelow 在 PC 和技術(shù)行業(yè)擁有 30 多年的技術(shù)寫作經(jīng)驗。