現(xiàn)代網(wǎng)絡(luò)安全取決于兩個(gè)因素：發(fā)現(xiàn)真正的威脅，并在其損害企業(yè)之前將其消除。理論上，這聽起來很簡(jiǎn)單，但將這些因素付諸實(shí)踐則完全是另一回事。

日益復(fù)雜的基礎(chǔ)設(shè)施、依賴關(guān)系和訪問需求，催生出新的、更微妙的攻擊向量，這些向量可能被攻破。軟件發(fā)布、補(bǔ)丁和更新后，零日攻擊頻頻出現(xiàn)。人為錯(cuò)誤以及惡意軟件感染的下載、可疑網(wǎng)站和網(wǎng)絡(luò)釣魚攻擊帶來的社會(huì)剝削，始終令人擔(dān)憂。即使是服務(wù)器和物聯(lián)網(wǎng)設(shè)備等新硬件，出廠時(shí)也預(yù)裝了潛在的漏洞。與此同時(shí)，企業(yè)面臨的潛在后果比以往任何時(shí)候都要嚴(yán)重，需要解決的合規(guī)性和法律問題也日益多樣化。

傳統(tǒng)的安全方法往往不足以應(yīng)對(duì)最新出現(xiàn)的威脅。

現(xiàn)代人工智能技術(shù)正在迅速崛起，能夠提供快速的威脅檢測(cè)、準(zhǔn)確的威脅判定、即時(shí)響應(yīng)以有效應(yīng)對(duì)威脅，并實(shí)時(shí)適應(yīng)不斷變化的威脅。人工智能還可以主動(dòng)分析漏洞和活動(dòng)，以預(yù)測(cè)并預(yù)防潛在的攻擊。網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施化解的每一個(gè)威脅，都能為企業(yè)節(jié)省大量成本。

什么是人工智能威脅檢測(cè)？

人工智能驅(qū)動(dòng)的威脅檢測(cè)涉及網(wǎng)絡(luò)安全系統(tǒng)的創(chuàng)建、訓(xùn)練、部署和管理，以加速準(zhǔn)確的威脅檢測(cè)和緩解。此類系統(tǒng)使用機(jī)器學(xué)習(xí) (ML) 分析整個(gè)企業(yè)的大量活動(dòng)數(shù)據(jù)。ML 算法分析涉及的活動(dòng)數(shù)據(jù)可以包括以下內(nèi)容：

• 網(wǎng)絡(luò)流量模式和數(shù)據(jù)包有效載荷。
• 應(yīng)用程序或其他配置效果。
• 數(shù)據(jù)訪問和內(nèi)容效果。
• 用戶行為。

人工智能威脅檢測(cè)的關(guān)鍵在于機(jī)器學(xué)習(xí)的分析能力。實(shí)際上，人工智能威脅檢測(cè)能夠?qū)W習(xí)環(huán)境中的正常（或允許的）行為，理解一系列現(xiàn)有威脅，并尋找與歷史基線的偏差或異常。這些差異或異常有時(shí)過于細(xì)微，傳統(tǒng)安全工具無(wú)法檢測(cè)到，卻可能預(yù)示著潛在的惡意活動(dòng)。

一旦機(jī)器學(xué)習(xí)算法發(fā)現(xiàn)潛在威脅，網(wǎng)絡(luò)安全平臺(tái)的人工智能層就可以自動(dòng)自主采取行動(dòng)。人工智能響應(yīng)可以包括以下內(nèi)容：

• 拒絕訪問數(shù)據(jù)或應(yīng)用程序。
• 禁止對(duì)數(shù)據(jù)或應(yīng)用程序進(jìn)行未經(jīng)授權(quán)的更改。
• 停止網(wǎng)絡(luò)流量或用戶訪問。
• 創(chuàng)建詳細(xì)的異常日志。
• 通知安全團(tuán)隊(duì)進(jìn)行進(jìn)一步調(diào)查。

人工智能驅(qū)動(dòng)的威脅檢測(cè)還可以隨著時(shí)間的推移不斷改進(jìn)和完善其決策。它可以從歷史數(shù)據(jù)中學(xué)習(xí)——定期更新活動(dòng)基線并調(diào)整警報(bào)以適應(yīng)不斷變化的正?；顒?dòng)水平。它還可以從人工反饋中學(xué)習(xí)，使安全團(tuán)隊(duì)能夠響應(yīng)人工智能生成的警報(bào)，并利用人工判斷進(jìn)一步完善警報(bào)和響應(yīng)。例如，如果 X 活動(dòng)看起來可疑，并且人類專家確定 Y 是合適的響應(yīng)，則相應(yīng)地調(diào)整對(duì) X 活動(dòng)的未來響應(yīng)。

人工智能威脅檢測(cè)的優(yōu)勢(shì)

人工智能驅(qū)動(dòng)的威脅檢測(cè)提供了許多商業(yè)優(yōu)勢(shì)，包括：

• 速度更快。機(jī)器學(xué)習(xí)因其快速處理和分析海量信息的能力而備受認(rèn)可。這使得機(jī)器學(xué)習(xí)能夠快速學(xué)習(xí)并快速檢測(cè)威脅，這對(duì)于緩解現(xiàn)代安全威脅至關(guān)重要。人工智能還可以快速采取行動(dòng)，對(duì)感知到的威脅做出適當(dāng)?shù)捻憫?yīng)，并提醒安全團(tuán)隊(duì)進(jìn)行更深入的評(píng)估。
• 更高程度的自動(dòng)化。人工智能驅(qū)動(dòng)的威脅檢測(cè)充分利用了自動(dòng)化功能，使安全平臺(tái)能夠快速自主地采取行動(dòng)。人工智能平臺(tái)可以處理威脅檢測(cè)以及漏洞分析、補(bǔ)丁管理和事件響應(yīng)。這使得人類安全人員能夠?qū)Ｗ⒂诒O(jiān)控環(huán)境、關(guān)注實(shí)際事件，并考慮更具戰(zhàn)略性的活動(dòng)，而不是持續(xù)的警報(bào)“救火”。
• 更高的準(zhǔn)確性。機(jī)器學(xué)習(xí)為商業(yè)分析帶來的準(zhǔn)確性和洞察力，同樣適用于網(wǎng)絡(luò)安全。人工智能驅(qū)動(dòng)的威脅檢測(cè)能夠洞察模式，并發(fā)現(xiàn)傳統(tǒng)工具可能遺漏的異常。此外，人工智能可以降低誤報(bào)率，從而增強(qiáng)對(duì)威脅存在和響應(yīng)的信心。
• 主動(dòng)威脅管理。機(jī)器學(xué)習(xí)分析提供的分析和洞察可以在攻擊發(fā)生之前識(shí)別潛在的漏洞和可能的攻擊媒介。它甚至可以預(yù)測(cè)可能的攻擊。這使得安全專業(yè)人員能夠主動(dòng)（而非被動(dòng)）地預(yù)防威脅并增強(qiáng)安全態(tài)勢(shì)。
• 自適應(yīng)行為。人工智能驅(qū)動(dòng)的威脅檢測(cè)平臺(tái)可以從分析數(shù)據(jù)、不斷變化的環(huán)境和人類安全響應(yīng)中學(xué)習(xí)。這使得機(jī)器學(xué)習(xí)模型和人工智能響應(yīng)能夠隨著時(shí)間的推移不斷改進(jìn)。它還能適應(yīng)各個(gè)企業(yè)獨(dú)特的風(fēng)險(xiǎn)承受能力、安全需求和響應(yīng)要求。
• 一致的響應(yīng)。人工智能驅(qū)動(dòng)的威脅檢測(cè)減少了對(duì)人類判斷和響應(yīng)的依賴。這可以減少人為錯(cuò)誤的重大影響，并確保對(duì)威脅做出更可預(yù)測(cè)和一致的響應(yīng)。這有利于業(yè)務(wù)連續(xù)性和法規(guī)遵從性。

人工智能如何用于企業(yè)威脅檢測(cè)

AI在數(shù)據(jù)分析和自適應(yīng)工作流自動(dòng)化方面展現(xiàn)出了非凡的能力。這些能力正受到 AI 設(shè)計(jì)人員的青睞，并已在各種 AI 驅(qū)動(dòng)的網(wǎng)絡(luò)安全工具中得到應(yīng)用，其中包括：

• 攻擊模擬。生成式人工智能可以制定并發(fā)起針對(duì)組織的模擬攻擊。這使得網(wǎng)絡(luò)安全專家能夠測(cè)試現(xiàn)有的防御措施，發(fā)現(xiàn)并驗(yàn)證潛在的漏洞，并通過壓力測(cè)試和進(jìn)一步訓(xùn)練人工智能驅(qū)動(dòng)的威脅檢測(cè)系統(tǒng)來增強(qiáng)威脅檢測(cè)模型。
• 網(wǎng)絡(luò)安全。 網(wǎng)絡(luò)檢測(cè)和響應(yīng)系統(tǒng)使用人工智能來監(jiān)控網(wǎng)絡(luò)流量，分析流量來源和模式，檢查網(wǎng)絡(luò)數(shù)據(jù)包有效載荷，并識(shí)別可能規(guī)避傳統(tǒng)網(wǎng)絡(luò)安全工具的復(fù)雜而隱蔽的威脅。
• 端點(diǎn)安全。端點(diǎn)檢測(cè)和響應(yīng) ( EDR ) 系統(tǒng)使用人工智能來管理筆記本電腦、臺(tái)式機(jī)和其他設(shè)備等端點(diǎn)設(shè)備。EDR 系統(tǒng)可以分析設(shè)備活動(dòng)和用戶行為模式，以檢測(cè)并響應(yīng)潛在威脅或惡意活動(dòng)。
• 基礎(chǔ)設(shè)施安全。安全信息和事件管理 ( SIEM ) 系統(tǒng)使用人工智能 (AI) 分析來自硬件和應(yīng)用程序的安全日志。通過學(xué)習(xí)正常行為并了解常見異常，SIEM 平臺(tái)可以快速分析和識(shí)別整個(gè)企業(yè)基礎(chǔ)設(shè)施中發(fā)生的潛在威脅。
• 物理安全。物理威脅（例如設(shè)備篡改或盜竊）通常被忽視為網(wǎng)絡(luò)安全威脅。人工智能驅(qū)動(dòng)的圖像和視頻分析可以識(shí)別面部或其他生物特征，基于生物特征驗(yàn)證角色或訪問權(quán)限，并在有人行為不當(dāng)時(shí)向安全人員發(fā)出警報(bào)。

如何實(shí)施人工智能威脅檢測(cè)系統(tǒng)

每個(gè)企業(yè)及其需求各不相同，因此沒有單一的方法可以將人工智能驅(qū)動(dòng)的威脅檢測(cè)系統(tǒng)部署到企業(yè)安全基礎(chǔ)設(shè)施中。正確的實(shí)施需要戰(zhàn)略規(guī)劃、技術(shù)知識(shí)和持續(xù)改進(jìn)。然而，有一些重要的指導(dǎo)原則可以幫助改善實(shí)施結(jié)果，包括：

• 以終為始。任何項(xiàng)目都需要一個(gè)目標(biāo)。確定企業(yè)必須使用人工智能系統(tǒng)應(yīng)對(duì)的威脅類型，以及人工智能系統(tǒng)的預(yù)期目標(biāo)（例如自動(dòng)識(shí)別和緩解威脅），并為人工智能系統(tǒng)設(shè)定適當(dāng)?shù)姆秶?/span>
• 定義成功。思考定義成功實(shí)施AI系統(tǒng)的標(biāo)準(zhǔn)。這可能涉及一系列相關(guān)指標(biāo)的選擇——例如檢測(cè)到的威脅、緩解的威脅，甚至是兩者的比率。這些指標(biāo)通?？梢栽贏I系統(tǒng)的管理儀表板中配置和顯示。任何偏離成功標(biāo)準(zhǔn)的情況都可以為部署后進(jìn)一步調(diào)查和系統(tǒng)改進(jìn)提供依據(jù)。
• 選擇人工智能系統(tǒng)。必須構(gòu)建或選擇合適的人工智能威脅檢測(cè)系統(tǒng)——通常需要經(jīng)過仔細(xì)的比較、評(píng)估和概念驗(yàn)證 (PoC) 試驗(yàn)。可以根據(jù)異常檢測(cè)、模式識(shí)別或行為分析等檢測(cè)能力來選擇人工智能系統(tǒng)。此外，還可以選擇能夠與現(xiàn)有安全基礎(chǔ)設(shè)施良好集成或與其他傳統(tǒng)安全工具協(xié)同使用的系統(tǒng)。
• 組織和準(zhǔn)備訓(xùn)練數(shù)據(jù)。人工智能系統(tǒng)需要訓(xùn)練，因此識(shí)別、收集和準(zhǔn)備所需數(shù)據(jù)（包括系統(tǒng)、網(wǎng)絡(luò)和用戶活動(dòng)日志）至關(guān)重要。與大多數(shù)人工智能訓(xùn)練一樣，數(shù)據(jù)需要清洗、規(guī)范化和轉(zhuǎn)換，以創(chuàng)建統(tǒng)一的格式和內(nèi)容。訪問和準(zhǔn)備訓(xùn)練數(shù)據(jù)時(shí)，請(qǐng)務(wù)必遵守所有數(shù)據(jù)保護(hù)和隱私準(zhǔn)則。
• 訓(xùn)練并驗(yàn)證人工智能。使用準(zhǔn)備好的訓(xùn)練數(shù)據(jù)來訓(xùn)練人工智能系統(tǒng)的機(jī)器學(xué)習(xí)模型。這可能需要一些時(shí)間和精力。通過檢查其準(zhǔn)確性和性能來驗(yàn)證訓(xùn)練好的模型。監(jiān)控模型的持續(xù)性能，并根據(jù)新的威脅或基線需求定期更新訓(xùn)練。
• 部署人工智能。一旦訓(xùn)練并驗(yàn)證完畢，人工智能系統(tǒng)即可投入生產(chǎn)。這通常需要與其他安全工具（例如 SIEM 平臺(tái)或入侵檢測(cè)/防御系統(tǒng)）進(jìn)行一定程度的集成。制定一個(gè)易于理解的回滾計(jì)劃。務(wù)必仔細(xì)配置人工智能，并開發(fā)合適的警報(bào)和自動(dòng)化工作流程，以處理人工智能訓(xùn)練識(shí)別的任何威脅。這可能需要一段時(shí)間的測(cè)試或藍(lán)綠部署，以確保人工智能按預(yù)期運(yùn)行。
• 監(jiān)控并更新人工智能。部署后，應(yīng)持續(xù)監(jiān)控人工智能系統(tǒng)，以確保其正常運(yùn)行，并識(shí)別潛在的改進(jìn)領(lǐng)域——例如改進(jìn)自動(dòng)化工作流程或提高某些威脅識(shí)別的準(zhǔn)確性。任何人工智能都需要定期更新模型——隨著條件和威脅的演變，保留并重置新的基準(zhǔn)。
• 培訓(xùn)安全人員。人工智能驅(qū)動(dòng)的威脅檢測(cè)旨在補(bǔ)充而非取代人類安全團(tuán)隊(duì)。務(wù)必為員工提供全面的人工智能工具及其使用培訓(xùn)，例如創(chuàng)建自動(dòng)化工作流程和人工智能訓(xùn)練程序。人工智能系統(tǒng)應(yīng)該是可解釋的，員工應(yīng)該清楚地理解人工智能是如何做出決策的。

人工智能威脅檢測(cè)系統(tǒng)的挑戰(zhàn)和局限性

盡管人工智能驅(qū)動(dòng)的威脅檢測(cè)具有諸多優(yōu)勢(shì)和功能，但它仍面臨著一些挑戰(zhàn)，企業(yè)和技術(shù)領(lǐng)導(dǎo)者在實(shí)施之前應(yīng)該仔細(xì)考慮這些挑戰(zhàn)，尤其是在網(wǎng)絡(luò)安全等關(guān)鍵任務(wù)領(lǐng)域。常見的挑戰(zhàn)和局限性包括：

• 數(shù)據(jù)隱私。人工智能訪問、存儲(chǔ)和分析海量數(shù)據(jù)。這些數(shù)據(jù)通常對(duì)企業(yè)而言非常敏感，并且可能包含用戶的個(gè)人身份信息。存儲(chǔ)、訪問、使用和傳輸這些海量數(shù)據(jù)的方式必須遵守現(xiàn)行的監(jiān)管義務(wù)和立法框架。強(qiáng)有力的數(shù)據(jù)保護(hù)和保留政策必不可少。
• 合乎道德的使用。與數(shù)據(jù)隱私挑戰(zhàn)一樣，人工智能驅(qū)動(dòng)的威脅檢測(cè)系統(tǒng)生成、訪問和使用的數(shù)據(jù)必須僅由授權(quán)人員用于可接受的商業(yè)目的。必須防止將安全數(shù)據(jù)和分析用于其他目的，例如查找和利用商業(yè)競(jìng)爭(zhēng)對(duì)手的漏洞。
• 可解釋性。所有人工智能面臨的一個(gè)持續(xù)挑戰(zhàn)是可解釋性——即理解人工智能實(shí)際運(yùn)作方式以及如何利用數(shù)據(jù)進(jìn)行決策所需的透明度?？山忉屝阅軌蚪⑿湃?，并讓企業(yè)展現(xiàn)對(duì)人工智能平臺(tái)的信心。缺乏可解釋性會(huì)削弱企業(yè)領(lǐng)導(dǎo)者、員工、合作伙伴、用戶和其他利益相關(guān)者的信任。
• 偏見。機(jī)器學(xué)習(xí)算法可能強(qiáng)大而有效，但它們的優(yōu)劣取決于用于訓(xùn)練它們的數(shù)據(jù)。訓(xùn)練數(shù)據(jù)中的偏見可能導(dǎo)致人工智能做出不準(zhǔn)確、不公平或歧視性的決策。負(fù)責(zé)構(gòu)建和訓(xùn)練人工智能系統(tǒng)的數(shù)據(jù)科學(xué)家和開發(fā)者必須仔細(xì)篩選訓(xùn)練數(shù)據(jù)，以消除潛在的偏見，因?yàn)槠娍赡軙?huì)影響評(píng)估結(jié)果。
• 人工智能攻擊者。雖然生成式人工智能可以用來模擬攻擊，但惡意行為者也可以使用人工智能工具發(fā)起真實(shí)攻擊，查找并利用漏洞。一些人工智能攻擊機(jī)制可以用來欺騙人工智能驅(qū)動(dòng)的威脅檢測(cè)系統(tǒng)。網(wǎng)絡(luò)安全專家必須警惕人工智能工具被武器化。

如何評(píng)估人工智能威脅檢測(cè)解決方案

除了成本、支持和易用性等日常問題外，首席信息安全官 (CISO) 及其團(tuán)隊(duì)在采用人工智能威脅檢測(cè)系統(tǒng)之前，還應(yīng)仔細(xì)評(píng)估其關(guān)鍵要素。CISO 可能會(huì)尋求以下常見問題的解答：

• 系統(tǒng)會(huì)檢測(cè)哪些類型的威脅？首先要考慮需要檢測(cè)哪些威脅，然后考慮能夠應(yīng)對(duì)這些威脅的工具。常見的威脅類型包括惡意軟件、網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)入侵、內(nèi)部攻擊、系統(tǒng)和用戶行為分析、異常檢測(cè)和模式識(shí)別。
• 該系統(tǒng)的性能特點(diǎn)是什么？確定平臺(tái)的具體特性和功能——例如有效的實(shí)時(shí)威脅檢測(cè)和緩解、培訓(xùn)選項(xiàng)和要求、改進(jìn)學(xué)習(xí)和適應(yīng)新威脅或變化威脅的能力，以及擴(kuò)展以處理更大量安全或威脅數(shù)據(jù)的能力。
• 系統(tǒng)的準(zhǔn)確性如何？即使是最好的人工智能威脅檢測(cè)系統(tǒng)也并非完美無(wú)缺。評(píng)估平臺(tái)的準(zhǔn)確性。這可能需要部署概念驗(yàn)證 (PoC)，以確定平臺(tái)能否發(fā)現(xiàn)并阻止所需的威脅類型。此外，平臺(tái)應(yīng)盡量減少誤報(bào)?？紤]新算法的發(fā)布或更新頻率。
• 該系統(tǒng)是否與現(xiàn)有的安全基礎(chǔ)設(shè)施集成？考慮一下人工智能驅(qū)動(dòng)的威脅檢測(cè)系統(tǒng)與現(xiàn)有基礎(chǔ)設(shè)施（尤其是惡意軟件檢測(cè)、防火墻、端點(diǎn)安全和 SIEM 工具等現(xiàn)有安全工具）的互操作性。避免使用需要對(duì)安全基礎(chǔ)設(shè)施其他元素進(jìn)行根本性改變的系統(tǒng)。
• 系統(tǒng)可以自動(dòng)化多少工作？人工智能驅(qū)動(dòng)的威脅檢測(cè)的核心部分是減少安全團(tuán)隊(duì)的工作量。想想人工智能系統(tǒng)可以自動(dòng)化多少任務(wù)，包括威脅檢測(cè)和自主實(shí)時(shí)響應(yīng)。依賴人工監(jiān)督的人工智能系統(tǒng)并沒有充分利用人工智能的能力。
• 系統(tǒng)如何通信？即使是功能最強(qiáng)大、自主性最高的安全系統(tǒng)也必須傳達(dá)警報(bào)、生成報(bào)告并向安全團(tuán)隊(duì)提供適當(dāng)?shù)纳舷挛男畔ⅰＴu(píng)估人工智能驅(qū)動(dòng)的威脅檢測(cè)系統(tǒng)如何生成、確定優(yōu)先級(jí)并向分析師發(fā)送警報(bào)。
• 系統(tǒng)是否保持合規(guī)？考慮人工監(jiān)督對(duì)人工智能系統(tǒng)的作用，并確保系統(tǒng)能夠支持業(yè)務(wù)連續(xù)性和監(jiān)管合規(guī)義務(wù)。

Informa TechTarget 高級(jí)技術(shù)編輯 Stephen J. Bigelow 在 PC 和技術(shù)行業(yè)擁有 30 多年的技術(shù)寫作經(jīng)驗(yàn)。