人工智能是安全的優秀防線
隨著2021年的到來,我們已經習慣了新的工作方式和新的工作環境。許多人可能還采用居家辦公的方式工作,采用數字通信方法進行項目協作和討論。我們的雇主已經開發出敏捷的方法,為員工配備合適的工具,以便有效和靈活地工作,遠程工作已成為業務預算和員工招聘決定的長期考慮因素。
這種轉變不太可能改變。我們可能會在2021年回到辦公室,但不會回到標準的5天工作周。報告顯示,許多組織正在計劃采用混合方式,給員工更多選擇。遠程工作在這里是永恒的,隨之而來的是,安全和安全獲得了更大的意義。
這種變化的一個影響是安全運營中心(SOC)處理的警報的可視性和數量。以前該團隊處理的是辦公地點內的數據中心,這意味著威脅的藏身之處有限。現在隨著遠程辦公,無人管理的個人設備--包括家庭物聯網和家庭電腦--有數千種選擇可以隱藏起來。以前在企業網絡上可見的威脅已經變得無所遁形,它們躲在家庭網絡中,伺機發動攻擊。
自動化幫助解決警報過載和疲勞問題
自動化、人工智能和機器學習應該是任何現代SOC的雷達。假設網絡犯罪分子已經在利用這些技術在這個廣泛的新表面發起有效的攻擊。在這種情況下,安全分析師也應該利用這些相同的技術來幫助保護他們的組織,并保證數據和用戶的安全。
安全分析師每天都會收到成千上萬的警報,現在有這么多的遠程工作人員,這些警報可能來自成千上萬的地點。許多人會是良性的,但團隊必須保持完整的可見性,以防錯過嚴重的威脅。這項工作是重復性的,可能會導致分析師疲勞或錯誤。以下是自動化可以提供幫助的方法。
- 對警報進行分析和標記。如果數據是 "好的 "或 "壞的",現有的規則會應用自動化操作來允許或拒絕信息。對于任何其他警報,數據被標記為 "未知",并報告給分析師進行進一步分析,這意味著團隊現在正在處理更多的有效警報和更少的誤報。
- 當警報被標記為不良時,必須快速激活并應用幾個動作。這些行動可能包括刪除電子郵件中的附件,隔離設備,甚至關閉部分網絡進行補救。安全自動化規則可以用來執行這些行動,可以完全自動化,也可以由分析人員點擊按鈕。
因此,從幾個例子可以看出,自動化如何幫助現代SOC早期檢測和補救威脅,以及減少安全團隊的工作量。然而,人工智能和機器學習呢?直到最近,這些都是流行語,但當適當地應用到環境中時,這些技術成為分析的關鍵推動力,有助于提高團隊效率,并使網絡安全快速、一致和準確。
使用人工智能將數據轉化為智能
人工智能將處理數以百萬計的威脅數據的輸出與現有的環境信息相結合,包括網絡信息、進入載體、使用的協議,甚至進行云分析,以了解威脅是新的還是以前在其他環境中看到的。這些數據為安全工程師提供了有價值的背景信息,而以前這些信息需要人工努力和時間來提取。檢測時間縮短,因為人工智能會比人類更快地看到網絡中的變化,收集相關數據并向團隊提供積極的警報。響應時間得到改善,因為工程師不必從深入分析發生的事情開始。他們立即與可操作的數據一起工作,并使用這些數據來創建補救計劃。
通過機器學習了解網絡,提高團隊效率
將機器學習(ML)與人工智能結合使用,意味著可以對工具進行訓練,以便更好地處理數據,ML系統將能夠提出改進建議。ML可以評估在網絡上看到的行為,發現可能超出正常模式的行為,并向團隊提出建議提醒,并在問題成為威脅之前捕捉到問題,這些問題可能包括異常的網絡端口使用、DNS操縱或潛在的流量風暴。這不僅提高了安全團隊的效率,而且ML將利用數據逐步增加情報,成為一種更有效的技術,使之成為網絡安全的雙贏!
