网络威胁的范围正在加速扩大,从企业资产和选举到健康数据和物理基础设施,更不用提新兴技术的不可预见的影响。到 2022 年,全球信息安全支出预计将达到 1,700 亿美元,所有企业都希望网络安全行业创造更好更具弹性的方法。
而这些方法需要 AI 的支持,AI 是机器学习算法和相关技术的总称,这些技术可以扩展威胁分析和分类、更好地了解异常情况、自动响应,并且最重要的是,可以制定积极的应对措施。在很多其他行业,流程自动化和 AI 预示着工作机会的减少,但与之不同的是,威胁情报的未来是强化人类,而不是取代人类。在这方面,我们的研究发现以下三个主要原因。
1.提高威胁分类并对威胁进行优先级排序
现在由 AI 驱动的安全工具在利用机器学习增强安全分析师和安全运营中心(SOC),主要通过两种重要方式:
- 自动执行重复性任务,例如繁琐的数据丰富化任务或对低风险警报进行分类。
- 并且,作为第一种方法的结果,提高威胁情报的基准,使人类分析师可从更高级别的威胁入手。
总的来说,这些带来三层优势。过去,安全分析师不得不花费数小时来编写威胁分析报告,这些报告更多地是关于意识和理解,而不是缓解风险本身。因此,移除低风险的威胁工作可释放人类分析人员专注于高价值决策任务,这不仅从降低风险的角度来看有益,而且鉴于当今不断扩大的威胁范围和日益增加的复杂性,这一点至关重要。尽管自动化技术在管理潜在威胁向量的数量方面比人类更好,但是人类分析人员仍然是控制、背景信息、知识和可解释性的重要决策者。
2.补充人才缺口
人类强化对于解决网络安全技能短缺至关重要。随着网络风险的不断发展和扩大,企业需要更多经验丰富的安全分析师。ESG 报告称,全球有超过 50% 的企业面临安全工作者的 “问题性短缺”,并且(ISC)2 预测,为满足当前安全需求,安全相关的雇员数量需要增长 145%。
AI 驱动的工具将永远无法消除这一差距,但企业可利用它们自动化大数据分析、报告和分类工作,这对于解决本已十分严重的人才短缺至关重要。实际上,此类工具可为当前和下一代 AI 驱动的网络安全分析师增加力量,因为它们:
- 基于数据、端点和威胁向量的指数级增长,它们很重要;
- 释放现有分析师,让下一代分析师专注于更高级的任务;
- 扩大单个分析师的能力范围,花费更少的时间了解正在发生的事情,而花更多时间缓解和解决风险;
- 提高生产力,释放高级分析师以指导初级分析师;
- 创建威胁分析,这些分析在总体上可帮助 SOC,并协助为国家构建更强大、多边更主动的网络威胁防御。
3.扩展 “民主化” 安全保护
通过 AI 驱动的网络安全对人类增强的长期影响与技术无关,而与人有关。这与被称为数据民主化的趋势类似,在这种趋势中,企业通过授权员工(数据专家和普通最终用户均如此)在没有外部协助的情况下贡献和提取见解,以更好地并更广泛地利用企业数据。简而言之,长期的防御和抵御攻击需要建立一种安全文化,在这种文化中,每位员工都应得到培训、配备工具和授权。随着时间的推移,安全意识强的员工人数将会多于不良行为者,这可能是最好的防御措施。
现在,AI 驱动的安全工具供应方市场已经在朝这个方向发展。例如,在 UX 和 UI 中,与其他软件套件集成,提供多语言支持,将可解释性引入 SIEM 和安全编排、自动化和响应(SOAR)平台等。同时,在 AI 网络安全市场的部署方面,在产品团队之间间,开始在设计中考虑安全性和隐私性;新兴的员工界面和安全投资,例如增强现实和音频;以及越来越多员工了解不良行为者如何运用社会工程手段,可帮助企业加强防御。正如更广泛的数据民主化依赖于供应商支持和企业文化一样,培训和投资,安全保护的民主化也是如此。
企业必须像攻击者一样,不断努力扩展其武器库、效能和安全策略。但并非与攻击者开展恶性竞争,企业应发挥重要作用,我们可能还没有充分把握和发挥其重要性,即在数字时代为人们提供保护和抵御的工具。