人工智能驅動的公有云技術的發(fā)展正在改變企業(yè)“默認保護”的游戲。

我最近有機會向一位行業(yè)分析師介紹人工智能AI在解決公有云安全方面的快速進步。分析人員和我都在探索入侵防御系統(tǒng)(IPS)的開始和商業(yè)化，并且多年來一直持懷疑態(tài)度，僅僅因為安全技術能夠防止威脅或主動攻擊，客戶不一定會處于保護模式。

即便在今天，我也估計80%的網(wǎng)站IPS是在僅檢測模式下運行的，而且雖然運行的很好，但基于主機IP下可能只在60%的企業(yè)環(huán)境中部署為僅檢測和警報。

在我們的談話中，我們兩個人都出現(xiàn)了一個問題：客戶是否準備開啟保護?或者更具體的說，為什么客戶現(xiàn)在可以啟用保護件?自從我與分析師進行初步討論以來，我一直在尋找一種更完整的方式來闡明為什么我認為IPS歷史無法回答為什么默認情況下為云中運營的企業(yè)啟用保護的問題。

無論是否具有下一代或NG前綴，IPS都應以獨立方式運行，有點像防火墻，獨立分析本地流量和數(shù)據(jù)流，識別特定事件或攻擊技術，發(fā)出警報，以及(如果在預防模式下操作)阻止或終止該流。由于三個嚴重的異議，企業(yè)安全團隊通常不愿意啟用IPS阻止。

• 預防決策是在IPS設備級實時進行的，依賴于在網(wǎng)絡中特定的時間和物理位置檢查流媒體流量。因此，IPS不是“情景感知”，如果不定期執(zhí)行專家環(huán)境調整，則會導致高水平的誤報率。
• 在當?shù)蒯槍λ鶛z查的交通流和數(shù)據(jù)流進行預防行動，雖然IPS可能最適合檢測企業(yè)內該物理位置的特定威脅，但通常不是采取預防措施的最佳位置。
• IPS可用的預防方法相當粗糙，從防火墻級別的流量阻塞到執(zhí)行會話終止的TCP重置，需要粗粒度的響應參數(shù)(例如，IP地址，端口號，協(xié)議)

在企業(yè)安全和威脅可見性方面，公有云和人工智能的使用非常簡單，是游戲改變者。

客戶的核心是為計算、存儲或流量計量和計費客戶，同時具有動態(tài)平衡工作負載和按需彈性擴展的透明功能，提供不同于傳統(tǒng)企業(yè)網(wǎng)絡架構中的環(huán)境可見性和控制水平。

雖然大多數(shù)公共云提供商的內置安全產品與其企業(yè)網(wǎng)絡同類產品具有相同的術語，但他們幾乎沒有相似之處，因為他們專門針對該提供商的云構建，并受益于獨特的環(huán)境可見性，共享日志記錄和警報處理，跨產品分析，內置自動化和編排API，以及越來越先進的AI功能。

公有云客戶可以立即看到改進中的局部部分，但是為什么安全團隊會像IPS中一樣啟用并允許云中的“保護”?我相信技術答案在于以下幾項的組合：

• 保護決策自動應用于云環(huán)境中最有效和最自然的位置，而不僅僅是主要檢測可能發(fā)生的位置。這樣可以在阻塞是提高精度。
• 緩解步驟不必是嚴苛的全有或者全無控制，而是可以同時分布在多個安全產品和云應用程序之間。這大大減少了可能產生的負面業(yè)務影響和不良用戶體驗。例如，在處理從共享和受信任的遠程設備發(fā)起的可以用戶時間時，結合了條件訪問控制和網(wǎng)絡流量限制。
• 跨產品的可見性和威脅遙相結合，允許智能系統(tǒng)識別新的威脅，并在較低的閾值和如何在獨立的單源保護產品中獲得更高的信心來做出決策。
• 隨著傳統(tǒng)簽名和基于統(tǒng)計的方法被高精度監(jiān)督學習模型和行為異常能力所取代，威脅監(jiān)測精度，異常識別和標記以及整體檢測置信水平都有所提高。

雖然云安全產品的技術能力增強了其對保護能力的信心，但我認為兩個更重要的動態(tài)在于云中推動“默認保護”比內部部署更快。

• 首先，攻擊的數(shù)量，復雜性和快速性的升級迫使組織比以往更快，更自動的響應威脅;之后更容易預訂啟用保護并調整業(yè)務異常。
• 其次，也許最重要的是，大多數(shù)遷移到公共云的企業(yè)沒有內部信息安全專業(yè)知識。簡而言之，安全警報是不可行的，并且會分散他們的注意力。他們需要一個安全平臺來運營他們的業(yè)務，并希望云提供商能夠全面保護他們。