現(xiàn)代網(wǎng)絡安全取決于兩個因素：發(fā)現(xiàn)真正的威脅，并在其損害企業(yè)之前將其消除。理論上，這聽起來很簡單，但將這些因素付諸實踐則完全是另一回事。

日益復雜的基礎設施、依賴關系和訪問需求，催生出新的、更微妙的攻擊向量，這些向量可能被攻破。軟件發(fā)布、補丁和更新后，零日攻擊頻頻出現(xiàn)。人為錯誤以及惡意軟件感染的下載、可疑網(wǎng)站和網(wǎng)絡釣魚攻擊帶來的社會剝削，始終令人擔憂。即使是服務器和物聯(lián)網(wǎng)設備等新硬件，出廠時也預裝了潛在的漏洞。與此同時，企業(yè)面臨的潛在后果比以往任何時候都要嚴重，需要解決的合規(guī)性和法律問題也日益多樣化。

傳統(tǒng)的安全方法往往不足以應對最新出現(xiàn)的威脅。

現(xiàn)代人工智能技術正在迅速崛起，能夠提供快速的威脅檢測、準確的威脅判定、即時響應以有效應對威脅，并實時適應不斷變化的威脅。人工智能還可以主動分析漏洞和活動，以預測并預防潛在的攻擊。網(wǎng)絡安全基礎設施化解的每一個威脅，都能為企業(yè)節(jié)省大量成本。

什么是人工智能威脅檢測？

人工智能驅動的威脅檢測涉及網(wǎng)絡安全系統(tǒng)的創(chuàng)建、訓練、部署和管理，以加速準確的威脅檢測和緩解。此類系統(tǒng)使用機器學習 (ML) 分析整個企業(yè)的大量活動數(shù)據(jù)。ML 算法分析涉及的活動數(shù)據(jù)可以包括以下內容：

• 網(wǎng)絡流量模式和數(shù)據(jù)包有效載荷。
• 應用程序或其他配置效果。
• 數(shù)據(jù)訪問和內容效果。
• 用戶行為。

人工智能威脅檢測的關鍵在于機器學習的分析能力。實際上，人工智能威脅檢測能夠學習環(huán)境中的正常（或允許的）行為，理解一系列現(xiàn)有威脅，并尋找與歷史基線的偏差或異常。這些差異或異常有時過于細微，傳統(tǒng)安全工具無法檢測到，卻可能預示著潛在的惡意活動。

一旦機器學習算法發(fā)現(xiàn)潛在威脅，網(wǎng)絡安全平臺的人工智能層就可以自動自主采取行動。人工智能響應可以包括以下內容：

• 拒絕訪問數(shù)據(jù)或應用程序。
• 禁止對數(shù)據(jù)或應用程序進行未經(jīng)授權的更改。
• 停止網(wǎng)絡流量或用戶訪問。
• 創(chuàng)建詳細的異常日志。
• 通知安全團隊進行進一步調查。

人工智能驅動的威脅檢測還可以隨著時間的推移不斷改進和完善其決策。它可以從歷史數(shù)據(jù)中學習——定期更新活動基線并調整警報以適應不斷變化的正常活動水平。它還可以從人工反饋中學習，使安全團隊能夠響應人工智能生成的警報，并利用人工判斷進一步完善警報和響應。例如，如果 X 活動看起來可疑，并且人類專家確定 Y 是合適的響應，則相應地調整對 X 活動的未來響應。

人工智能威脅檢測的優(yōu)勢

人工智能驅動的威脅檢測提供了許多商業(yè)優(yōu)勢，包括：

• 速度更快。機器學習因其快速處理和分析海量信息的能力而備受認可。這使得機器學習能夠快速學習并快速檢測威脅，這對于緩解現(xiàn)代安全威脅至關重要。人工智能還可以快速采取行動，對感知到的威脅做出適當?shù)捻憫⑻嵝寻踩珗F隊進行更深入的評估。
• 更高程度的自動化。人工智能驅動的威脅檢測充分利用了自動化功能，使安全平臺能夠快速自主地采取行動。人工智能平臺可以處理威脅檢測以及漏洞分析、補丁管理和事件響應。這使得人類安全人員能夠專注于監(jiān)控環(huán)境、關注實際事件，并考慮更具戰(zhàn)略性的活動，而不是持續(xù)的警報“救火”。
• 更高的準確性。機器學習為商業(yè)分析帶來的準確性和洞察力，同樣適用于網(wǎng)絡安全。人工智能驅動的威脅檢測能夠洞察模式，并發(fā)現(xiàn)傳統(tǒng)工具可能遺漏的異常。此外，人工智能可以降低誤報率，從而增強對威脅存在和響應的信心。
• 主動威脅管理。機器學習分析提供的分析和洞察可以在攻擊發(fā)生之前識別潛在的漏洞和可能的攻擊媒介。它甚至可以預測可能的攻擊。這使得安全專業(yè)人員能夠主動（而非被動）地預防威脅并增強安全態(tài)勢。
• 自適應行為。人工智能驅動的威脅檢測平臺可以從分析數(shù)據(jù)、不斷變化的環(huán)境和人類安全響應中學習。這使得機器學習模型和人工智能響應能夠隨著時間的推移不斷改進。它還能適應各個企業(yè)獨特的風險承受能力、安全需求和響應要求。
• 一致的響應。人工智能驅動的威脅檢測減少了對人類判斷和響應的依賴。這可以減少人為錯誤的重大影響，并確保對威脅做出更可預測和一致的響應。這有利于業(yè)務連續(xù)性和法規(guī)遵從性。

人工智能如何用于企業(yè)威脅檢測

AI在數(shù)據(jù)分析和自適應工作流自動化方面展現(xiàn)出了非凡的能力。這些能力正受到 AI 設計人員的青睞，并已在各種 AI 驅動的網(wǎng)絡安全工具中得到應用，其中包括：

• 攻擊模擬。生成式人工智能可以制定并發(fā)起針對組織的模擬攻擊。這使得網(wǎng)絡安全專家能夠測試現(xiàn)有的防御措施，發(fā)現(xiàn)并驗證潛在的漏洞，并通過壓力測試和進一步訓練人工智能驅動的威脅檢測系統(tǒng)來增強威脅檢測模型。
• 網(wǎng)絡安全。 網(wǎng)絡檢測和響應系統(tǒng)使用人工智能來監(jiān)控網(wǎng)絡流量，分析流量來源和模式，檢查網(wǎng)絡數(shù)據(jù)包有效載荷，并識別可能規(guī)避傳統(tǒng)網(wǎng)絡安全工具的復雜而隱蔽的威脅。
• 端點安全。端點檢測和響應 ( EDR ) 系統(tǒng)使用人工智能來管理筆記本電腦、臺式機和其他設備等端點設備。EDR 系統(tǒng)可以分析設備活動和用戶行為模式，以檢測并響應潛在威脅或惡意活動。
• 基礎設施安全。安全信息和事件管理 ( SIEM ) 系統(tǒng)使用人工智能 (AI) 分析來自硬件和應用程序的安全日志。通過學習正常行為并了解常見異常，SIEM 平臺可以快速分析和識別整個企業(yè)基礎設施中發(fā)生的潛在威脅。
• 物理安全。物理威脅（例如設備篡改或盜竊）通常被忽視為網(wǎng)絡安全威脅。人工智能驅動的圖像和視頻分析可以識別面部或其他生物特征，基于生物特征驗證角色或訪問權限，并在有人行為不當時向安全人員發(fā)出警報。

如何實施人工智能威脅檢測系統(tǒng)

每個企業(yè)及其需求各不相同，因此沒有單一的方法可以將人工智能驅動的威脅檢測系統(tǒng)部署到企業(yè)安全基礎設施中。正確的實施需要戰(zhàn)略規(guī)劃、技術知識和持續(xù)改進。然而，有一些重要的指導原則可以幫助改善實施結果，包括：

• 以終為始。任何項目都需要一個目標。確定企業(yè)必須使用人工智能系統(tǒng)應對的威脅類型，以及人工智能系統(tǒng)的預期目標（例如自動識別和緩解威脅），并為人工智能系統(tǒng)設定適當?shù)姆秶?/span>
• 定義成功。思考定義成功實施AI系統(tǒng)的標準。這可能涉及一系列相關指標的選擇——例如檢測到的威脅、緩解的威脅，甚至是兩者的比率。這些指標通常可以在AI系統(tǒng)的管理儀表板中配置和顯示。任何偏離成功標準的情況都可以為部署后進一步調查和系統(tǒng)改進提供依據(jù)。
• 選擇人工智能系統(tǒng)。必須構建或選擇合適的人工智能威脅檢測系統(tǒng)——通常需要經(jīng)過仔細的比較、評估和概念驗證 (PoC) 試驗。可以根據(jù)異常檢測、模式識別或行為分析等檢測能力來選擇人工智能系統(tǒng)。此外，還可以選擇能夠與現(xiàn)有安全基礎設施良好集成或與其他傳統(tǒng)安全工具協(xié)同使用的系統(tǒng)。
• 組織和準備訓練數(shù)據(jù)。人工智能系統(tǒng)需要訓練，因此識別、收集和準備所需數(shù)據(jù)（包括系統(tǒng)、網(wǎng)絡和用戶活動日志）至關重要。與大多數(shù)人工智能訓練一樣，數(shù)據(jù)需要清洗、規(guī)范化和轉換，以創(chuàng)建統(tǒng)一的格式和內容。訪問和準備訓練數(shù)據(jù)時，請務必遵守所有數(shù)據(jù)保護和隱私準則。
• 訓練并驗證人工智能。使用準備好的訓練數(shù)據(jù)來訓練人工智能系統(tǒng)的機器學習模型。這可能需要一些時間和精力。通過檢查其準確性和性能來驗證訓練好的模型。監(jiān)控模型的持續(xù)性能，并根據(jù)新的威脅或基線需求定期更新訓練。
• 部署人工智能。一旦訓練并驗證完畢，人工智能系統(tǒng)即可投入生產(chǎn)。這通常需要與其他安全工具（例如 SIEM 平臺或入侵檢測/防御系統(tǒng)）進行一定程度的集成。制定一個易于理解的回滾計劃。務必仔細配置人工智能，并開發(fā)合適的警報和自動化工作流程，以處理人工智能訓練識別的任何威脅。這可能需要一段時間的測試或藍綠部署，以確保人工智能按預期運行。
• 監(jiān)控并更新人工智能。部署后，應持續(xù)監(jiān)控人工智能系統(tǒng)，以確保其正常運行，并識別潛在的改進領域——例如改進自動化工作流程或提高某些威脅識別的準確性。任何人工智能都需要定期更新模型——隨著條件和威脅的演變，保留并重置新的基準。
• 培訓安全人員。人工智能驅動的威脅檢測旨在補充而非取代人類安全團隊。務必為員工提供全面的人工智能工具及其使用培訓，例如創(chuàng)建自動化工作流程和人工智能訓練程序。人工智能系統(tǒng)應該是可解釋的，員工應該清楚地理解人工智能是如何做出決策的。

人工智能威脅檢測系統(tǒng)的挑戰(zhàn)和局限性

盡管人工智能驅動的威脅檢測具有諸多優(yōu)勢和功能，但它仍面臨著一些挑戰(zhàn)，企業(yè)和技術領導者在實施之前應該仔細考慮這些挑戰(zhàn)，尤其是在網(wǎng)絡安全等關鍵任務領域。常見的挑戰(zhàn)和局限性包括：

• 數(shù)據(jù)隱私。人工智能訪問、存儲和分析海量數(shù)據(jù)。這些數(shù)據(jù)通常對企業(yè)而言非常敏感，并且可能包含用戶的個人身份信息。存儲、訪問、使用和傳輸這些海量數(shù)據(jù)的方式必須遵守現(xiàn)行的監(jiān)管義務和立法框架。強有力的數(shù)據(jù)保護和保留政策必不可少。
• 合乎道德的使用。與數(shù)據(jù)隱私挑戰(zhàn)一樣，人工智能驅動的威脅檢測系統(tǒng)生成、訪問和使用的數(shù)據(jù)必須僅由授權人員用于可接受的商業(yè)目的。必須防止將安全數(shù)據(jù)和分析用于其他目的，例如查找和利用商業(yè)競爭對手的漏洞。
• 可解釋性。所有人工智能面臨的一個持續(xù)挑戰(zhàn)是可解釋性——即理解人工智能實際運作方式以及如何利用數(shù)據(jù)進行決策所需的透明度。可解釋性能夠建立信任，并讓企業(yè)展現(xiàn)對人工智能平臺的信心。缺乏可解釋性會削弱企業(yè)領導者、員工、合作伙伴、用戶和其他利益相關者的信任。
• 偏見。機器學習算法可能強大而有效，但它們的優(yōu)劣取決于用于訓練它們的數(shù)據(jù)。訓練數(shù)據(jù)中的偏見可能導致人工智能做出不準確、不公平或歧視性的決策。負責構建和訓練人工智能系統(tǒng)的數(shù)據(jù)科學家和開發(fā)者必須仔細篩選訓練數(shù)據(jù)，以消除潛在的偏見，因為偏見可能會影響評估結果。
• 人工智能攻擊者。雖然生成式人工智能可以用來模擬攻擊，但惡意行為者也可以使用人工智能工具發(fā)起真實攻擊，查找并利用漏洞。一些人工智能攻擊機制可以用來欺騙人工智能驅動的威脅檢測系統(tǒng)。網(wǎng)絡安全專家必須警惕人工智能工具被武器化。

如何評估人工智能威脅檢測解決方案

除了成本、支持和易用性等日常問題外，首席信息安全官 (CISO) 及其團隊在采用人工智能威脅檢測系統(tǒng)之前，還應仔細評估其關鍵要素。CISO 可能會尋求以下常見問題的解答：

• 系統(tǒng)會檢測哪些類型的威脅？首先要考慮需要檢測哪些威脅，然后考慮能夠應對這些威脅的工具。常見的威脅類型包括惡意軟件、網(wǎng)絡釣魚、網(wǎng)絡入侵、內部攻擊、系統(tǒng)和用戶行為分析、異常檢測和模式識別。
• 該系統(tǒng)的性能特點是什么？確定平臺的具體特性和功能——例如有效的實時威脅檢測和緩解、培訓選項和要求、改進學習和適應新威脅或變化威脅的能力，以及擴展以處理更大量安全或威脅數(shù)據(jù)的能力。
• 系統(tǒng)的準確性如何？即使是最好的人工智能威脅檢測系統(tǒng)也并非完美無缺。評估平臺的準確性。這可能需要部署概念驗證 (PoC)，以確定平臺能否發(fā)現(xiàn)并阻止所需的威脅類型。此外，平臺應盡量減少誤報。考慮新算法的發(fā)布或更新頻率。
• 該系統(tǒng)是否與現(xiàn)有的安全基礎設施集成？考慮一下人工智能驅動的威脅檢測系統(tǒng)與現(xiàn)有基礎設施（尤其是惡意軟件檢測、防火墻、端點安全和 SIEM 工具等現(xiàn)有安全工具）的互操作性。避免使用需要對安全基礎設施其他元素進行根本性改變的系統(tǒng)。
• 系統(tǒng)可以自動化多少工作？人工智能驅動的威脅檢測的核心部分是減少安全團隊的工作量。想想人工智能系統(tǒng)可以自動化多少任務，包括威脅檢測和自主實時響應。依賴人工監(jiān)督的人工智能系統(tǒng)并沒有充分利用人工智能的能力。
• 系統(tǒng)如何通信？即使是功能最強大、自主性最高的安全系統(tǒng)也必須傳達警報、生成報告并向安全團隊提供適當?shù)纳舷挛男畔ⅰＴu估人工智能驅動的威脅檢測系統(tǒng)如何生成、確定優(yōu)先級并向分析師發(fā)送警報。
• 系統(tǒng)是否保持合規(guī)？考慮人工監(jiān)督對人工智能系統(tǒng)的作用，并確保系統(tǒng)能夠支持業(yè)務連續(xù)性和監(jiān)管合規(guī)義務。

Informa TechTarget 高級技術編輯 Stephen J. Bigelow 在 PC 和技術行業(yè)擁有 30 多年的技術寫作經(jīng)驗。