在七月，華爾街經(jīng)歷了自2022年以來(lái)最糟糕的一天，以科技為主的納斯達(dá)克指數(shù)下跌了3.6%。此次下跌主要由于一些主要科技公司的業(yè)績(jī)未達(dá)到預(yù)期，評(píng)論人士認(rèn)為這是引發(fā)市場(chǎng)波動(dòng)的原因。值得注意的是，受此次下跌打擊最嚴(yán)重的公司，往往是那些在AI領(lǐng)域投入大量資金的企業(yè)。

盡管AI引發(fā)了大量投資和樂(lè)觀預(yù)期，但越來(lái)越多的人開始擔(dān)憂其能力可能被過(guò)度夸大?？萍脊傻南碌癸@了決策者們面臨的巨大壓力，要求他們證明AI能真正實(shí)現(xiàn)其預(yù)期目標(biāo)。

對(duì)于首席信息安全官(CISO)而言，這種壓力尤為顯著，他們現(xiàn)在的任務(wù)不僅是確保AI驅(qū)動(dòng)的舉措能加強(qiáng)網(wǎng)絡(luò)安全，還要展示出可以向公司高層和董事會(huì)傳達(dá)的可量化成果。

網(wǎng)絡(luò)安全尤其能夠從AI的能力中受益，AI的機(jī)器學(xué)習(xí)算法能夠幫助檢測(cè)用戶行為中的異常，這在當(dāng)今快速變化的威脅環(huán)境中是至關(guān)重要的。事實(shí)上，一項(xiàng)最新研究發(fā)現(xiàn)，78%的CISO已經(jīng)在某種程度上利用AI來(lái)支持其安全團(tuán)隊(duì)的工作。

然而，正如任何發(fā)展中的技術(shù)一樣，AI的應(yīng)用需要保持適當(dāng)?shù)膽岩蓱B(tài)度。為了確保對(duì)AI的投資能夠帶來(lái)實(shí)際成果，CISO在將AI整合到其網(wǎng)絡(luò)安全策略中之前，必須自問(wèn)三個(gè)關(guān)鍵問(wèn)題。

1. AI的應(yīng)用在哪些領(lǐng)域最有意義?

在實(shí)施AI之前，確定它可以在哪些領(lǐng)域產(chǎn)生最大的影響是至關(guān)重要的。

盡管許多從業(yè)者希望將AI整合到威脅檢測(cè)和響應(yīng)中，但了解其局限性同樣重要。大型語(yǔ)言模型(LLMs)在分析檢測(cè)日志并提供高級(jí)響應(yīng)指導(dǎo)方面可能非常有用，然而，威脅環(huán)境的動(dòng)態(tài)特性帶來(lái)了挑戰(zhàn)：威脅行為者也在使用AI，他們演化的速度往往超過(guò)了現(xiàn)有的威脅識(shí)別系統(tǒng)。

為了跟上威脅行為者的步伐，AI可以在某些領(lǐng)域產(chǎn)生顯著且即時(shí)的影響，尤其是在自動(dòng)化處理安全團(tuán)隊(duì)當(dāng)前大量耗時(shí)的重復(fù)性任務(wù)上。例如，AI驅(qū)動(dòng)的見解和指導(dǎo)可以幫助安全運(yùn)營(yíng)中心(SOC)的分析師更快地分流警報(bào)，減輕工作負(fù)擔(dān)，使他們能夠集中精力處理更復(fù)雜的威脅。通過(guò)利用AI提升SOC中的分析師，CISO可以釋放團(tuán)隊(duì)資源，專注于高優(yōu)先級(jí)問(wèn)題，提升整體效率和響應(yīng)速度。

2. 我的用例中AI的有效性有證據(jù)支持嗎?

并非所有的用例都能同樣有效，在嘗試更具創(chuàng)新性的應(yīng)用之前，依賴經(jīng)過(guò)驗(yàn)證的應(yīng)用會(huì)更安全。

例如，安全信息和事件管理(SIEM)系統(tǒng)長(zhǎng)期以來(lái)一直使用AI和機(jī)器學(xué)習(xí)進(jìn)行行為分析?；跈C(jī)器學(xué)習(xí)的用戶和實(shí)體行為分析(UEBA)系統(tǒng)在檢測(cè)可能表明安全威脅的異?；顒?dòng)方面表現(xiàn)出色，如內(nèi)部攻擊、賬戶被盜或未經(jīng)授權(quán)的訪問(wèn)。

這些系統(tǒng)通過(guò)分析大量的歷史數(shù)據(jù)來(lái)建立用戶和實(shí)體的行為基準(zhǔn)，并持續(xù)監(jiān)控實(shí)時(shí)活動(dòng)是否偏離常規(guī)。

通過(guò)專注于像UEBA這樣成熟的AI應(yīng)用，CISO可以確保其AI投資帶來(lái)價(jià)值，同時(shí)降低風(fēng)險(xiǎn)。

3. 提供給AI模型的數(shù)據(jù)質(zhì)量如何?

AI成功的一個(gè)關(guān)鍵因素是提供給模型的數(shù)據(jù)質(zhì)量。AI模型的表現(xiàn)取決于其消耗的數(shù)據(jù)質(zhì)量，如果沒(méi)有準(zhǔn)確、完整且經(jīng)過(guò)豐富處理的數(shù)據(jù)，AI系統(tǒng)可能會(huì)產(chǎn)生有缺陷的結(jié)果。

在網(wǎng)絡(luò)安全領(lǐng)域，威脅不斷演變，為AI系統(tǒng)提供涵蓋攻擊面上下文、詳細(xì)日志、警報(bào)和異常活動(dòng)的多樣化數(shù)據(jù)集至關(guān)重要。

然而，像API這樣的新興攻擊面帶來(lái)了獨(dú)特的挑戰(zhàn)。API安全成為黑客的主要目標(biāo)，因?yàn)锳PI經(jīng)常傳輸敏感信息。雖然傳統(tǒng)的Web應(yīng)用防火墻(WAF)過(guò)去可能足以保護(hù)API，但如今的威脅行為者已經(jīng)開發(fā)出更復(fù)雜的技術(shù)來(lái)突破外圍防御。不幸的是，由于API安全是一個(gè)相對(duì)較新的領(lǐng)域，這一攻擊面很少被監(jiān)控，更糟糕的是，它通常不包含在AI的威脅分析中。

由于成功取決于高質(zhì)量數(shù)據(jù)的可用性，AI可能尚未成為應(yīng)對(duì)諸如API等尚未成熟或正在興起的攻擊面的最佳解決方案，因?yàn)檫@些領(lǐng)域的基礎(chǔ)安全實(shí)踐可能仍在發(fā)展。在這種情況下，CISO必須認(rèn)識(shí)到，即使是最先進(jìn)的AI算法也無(wú)法彌補(bǔ)基礎(chǔ)安全措施和可靠數(shù)據(jù)的缺乏。

結(jié)論

AI在改變網(wǎng)絡(luò)安全方面具有巨大的潛力，但它并非萬(wàn)能。通過(guò)提出有關(guān)AI在哪些領(lǐng)域可以創(chuàng)造最大價(jià)值的關(guān)鍵問(wèn)題，依賴經(jīng)過(guò)驗(yàn)證的用例，并確保獲得高質(zhì)量的數(shù)據(jù)，CISO可以做出明智的決策，決定如何以及何時(shí)將AI整合到其網(wǎng)絡(luò)安全策略中。在一個(gè)機(jī)遇和威脅都快速演變的環(huán)境中，AI實(shí)施的戰(zhàn)略性方法將成為成功的關(guān)鍵。