[[415354]]

采用安全信息和事件管理(SIEM)軟件可以為企業(yè)提供威脅監(jiān)控、事件關(guān)聯(lián)、事件響應(yīng)和報告。SIEM通過企業(yè)技術(shù)(其中包括應(yīng)用程序、防火墻和其他系統(tǒng))收集、匯總和分析日志數(shù)據(jù)，隨后會提醒企業(yè)的IT安全團隊登錄失敗、惡意軟件和其他潛在的惡意活動。

然而，多年來，SIEM幾乎沒有超出提供更好、更易搜索的基于規(guī)則的日志引擎的能力。而人工智能(AI)和機器學(xué)習(xí)(ML)技術(shù)與網(wǎng)絡(luò)安全工具的結(jié)合則預(yù)示著美好的未來。

調(diào)研機構(gòu)Gartner公司在2016年創(chuàng)造了另一個新術(shù)語，也就是“用于IT運營的人工智能”(AIOps)。人工智能和基于機器學(xué)習(xí)的算法與預(yù)測分析相結(jié)合，正在迅速成為SIEM平臺的核心部分。這些平臺提供對給定IT環(huán)境中觀察到的所有活動的自動化、持續(xù)分析和關(guān)聯(lián)。這種集成為SIEM提供了深度學(xué)習(xí)功能和無數(shù)集成工具，以推動更明智的結(jié)果。

以下是這種集成SIEM的好處：

防止隱形攻擊

典型的SIEM分析將在相對較短的時間內(nèi)(通常是數(shù)小時和數(shù)天)收集的來自不同來源的事件相關(guān)聯(lián)。這與基礎(chǔ)設(shè)施的基線相比，如果超過預(yù)設(shè)閾值，將會輸出優(yōu)先警報。AIOps表示將長期(可能長達(dá)數(shù)年)收集到的事件信息存儲在數(shù)據(jù)庫中，然后對該數(shù)據(jù)應(yīng)用于分析系統(tǒng)。

這種分析使AIOps能夠隨著時間的推移來調(diào)整基礎(chǔ)設(shè)施基線和警報閾值，并根據(jù)相關(guān)事件自動采取一些補救措施。此外，使用大數(shù)據(jù)使SIEM能夠檢測到網(wǎng)絡(luò)上非常緩慢或隱蔽的活動，否則SIEM可能會錯過或忽略這些攻擊。通過檢測這些緩慢或隱蔽的攻擊活動，安全團隊可以防止重大安全事件。

威脅檢測

除了提供標(biāo)準(zhǔn)日志數(shù)據(jù)之外，人工智能和機器學(xué)習(xí)技術(shù)還可以整合威脅情報源。某些產(chǎn)品還具有高級安全分析功能，可以查看用戶和網(wǎng)絡(luò)行為。機器學(xué)習(xí)使企業(yè)的SIEM能夠促進跨大型數(shù)據(jù)集的威脅檢測，從而減輕安全團隊的一些威脅搜尋責(zé)任。威脅情報可以深入了解全球互聯(lián)網(wǎng)上各個IP地址、網(wǎng)站、域和其他實體的可能意圖，這使他們能夠區(qū)分正?；顒雍蛺阂饣顒印?/p>

為企業(yè)的SIEM提供對一個或多個威脅情報源的持續(xù)訪問，使機器學(xué)習(xí)技術(shù)能夠使用威脅情報提供的場景。隨著了解的更多信息，它開始理解超出其初始數(shù)據(jù)輸入的惡意行為警告。因此，它可以阻止企業(yè)的網(wǎng)絡(luò)安全從未遇到的威脅。它改進了SIEM的決策，尤其是在準(zhǔn)確性方面，從而有助于深化企業(yè)的安全層。

不過在此提出一個警告：機器學(xué)習(xí)應(yīng)用在較大的數(shù)據(jù)集上比應(yīng)用在較小的數(shù)據(jù)集上更有效，但由于大數(shù)據(jù)可能有損耗，它可能會使合規(guī)性報告復(fù)雜化。但由于這是一個已知問題，因此有多種解決方法可供選擇。

消除數(shù)據(jù)中的噪聲

典型的SIEM提供了大量的監(jiān)控數(shù)據(jù)/日志，但SIEM報告數(shù)據(jù)不具有可操作性、難以理解且包含太多噪聲。集成人工智能的SIEM解決方案可以高效地管理大數(shù)據(jù)，并可以使用自動化工作流替換重復(fù)性而冗余的任務(wù)。

盡管大多數(shù)人工智能程序有助于數(shù)據(jù)分類，但人工智能元素?zé)o法對無法識別的數(shù)據(jù)點和事件信息進行分組。另一方面，機器學(xué)習(xí)可以利用數(shù)據(jù)聚類功能來識別這些未知值，并根據(jù)檢測到的相似性將它們分組。

隨著企業(yè)規(guī)模的擴大消除盲點

隨著企業(yè)規(guī)模的擴大，安全系統(tǒng)變得更容易出現(xiàn)盲點。每個盲點可能會持續(xù)數(shù)月甚至數(shù)年都沒有受到監(jiān)控。因此，網(wǎng)絡(luò)的這些部分可能會長時間未打補丁。這些盲點進一步成為黑客進行威脅的滲透場所。

幸運的是，SIEM中的人工智能可以幫助提高網(wǎng)絡(luò)的可見性，從而快速、定期地發(fā)現(xiàn)網(wǎng)絡(luò)中的盲點。它還可以從這些最近發(fā)現(xiàn)的盲點中提取安全日志，從而擴大SIEM解決方案的范圍。

提高IT安全團隊的響應(yīng)能力

任何企業(yè)的安全運營中心(SOC)團隊都是有限的，任何SIEM產(chǎn)生的日志數(shù)據(jù)量都相當(dāng)可觀。這使得以響應(yīng)迅速且有效的方式處理事件的挑戰(zhàn)極其艱巨。更重要的是，很多SIEM工具還提供了很多不相關(guān)的數(shù)據(jù)，導(dǎo)致安全運營中心(SOC)團隊面臨警報疲勞。

當(dāng)處理太多警報并且不知道應(yīng)該注意和忽略哪些警報時，就會發(fā)生這種情況。機器學(xué)習(xí)提供的自動化和標(biāo)準(zhǔn)化的工作流程可以減少人為錯誤的可能性，并更快地完成工作。

SIEM還需要企業(yè)的IT安全團隊持續(xù)監(jiān)控。人工監(jiān)控每個系統(tǒng)檢查點不僅會讓工作人員筋疲力盡，還會導(dǎo)致工作倦怠。支持機器學(xué)習(xí)功能的SIEM可以提供：

• 自我學(xué)習(xí)以自動化重復(fù)的非結(jié)構(gòu)化流程
• 自動化系統(tǒng)警報的能力
• 數(shù)據(jù)可視化儀表板
• 實時分析
• 頂級企業(yè)安全
• 跨部門共享

不幸的是，由簡單的機器學(xué)習(xí)功能支持的SIEM無法與人類的創(chuàng)造力和網(wǎng)絡(luò)攻擊者的集體協(xié)作相匹敵。因此，企業(yè)的安全團隊需要帶頭進行威脅追蹤和事件響應(yīng)。

但是，正確實施的人工智能增強SIEM可以通過其預(yù)測和自動化功能優(yōu)化這些流程。此類SIEM可為企業(yè)的IT安全團隊提供以下功能 ：

• 通過企業(yè)的安全關(guān)聯(lián)規(guī)則，可以執(zhí)行自動威脅搜尋。
• SIEM中的人工智能元素可以通過對所有警報自動應(yīng)用情境化來識別誤報。
• 人工智能增強的SIEM可以加快安全工作人員有限的企業(yè)的檢測和響應(yīng)時間。

從本質(zhì)上講，企業(yè)不僅可以將這項技術(shù)視為第二雙眼睛，還可以將其視為第二雙手。但是需要記住的是，人類智慧將永遠(yuǎn)勝于人工智能。

預(yù)測模式

機器學(xué)習(xí)算法增強了SIEM系統(tǒng)，使它們能夠使用以前的模式來預(yù)測未來的數(shù)據(jù)。 例如，考慮在安全漏洞期間提供的數(shù)據(jù)模式。機器學(xué)習(xí)功能使系統(tǒng)能夠內(nèi)化這些模式，然后使用它們來檢測可能顯示后續(xù)違規(guī)或滲透的可疑活動。

人工智能增強的SIEM可以阻止可能是惡意的進程。這不僅有助于調(diào)查和威脅補救，而且甚至在事件響應(yīng)開始之前就可以減輕損害。

對于規(guī)模相對較小的企業(yè)或那些擁有簡單IT基礎(chǔ)設(shè)施的企業(yè)來說，啟用人工智能的SIEM的成本可能會令人望而卻步，同時在與良好的安全措施相結(jié)合的情況下幾乎沒有優(yōu)勢。大型且復(fù)雜的IT基礎(chǔ)設(shè)施可能證明企業(yè)使用支持人工智能的SIEM的成本是合理的。但是，始終建議對產(chǎn)品進行詳細(xì)評估。

Gartner公司預(yù)測，到2023年，全球約有1755億美元將用于信息安全和風(fēng)險管理。而到2023年，數(shù)據(jù)安全、云安全和基礎(chǔ)設(shè)施保護是安全支出增長最快的領(lǐng)域。根據(jù)Zion Market Research公司的調(diào)查，全球基于人工智能的網(wǎng)絡(luò)安全系統(tǒng)和服務(wù)2018年的支出高達(dá)71億美元，預(yù)計到2025年將達(dá)到309億美元。

隨著在日益數(shù)字化的市場中生成越來越多的數(shù)據(jù)，企業(yè)關(guān)鍵信息的安全性至關(guān)重要。隨著網(wǎng)絡(luò)攻擊的復(fù)雜程度和頻率不斷提高，支持威脅情報的網(wǎng)絡(luò)安全工具將成為企業(yè)最寶貴的資產(chǎn)。