此外,企业环境中人类行为产生的数字噪音,令系统中的异常现象成为常见现象,无法判断其是否代表攻击行为。因此,基于人工智能的异常行为检测,其效果并不理想。比如,一家日产10亿数量级遥感数据的大型企业,使用机器学习来检测威胁。即使其准确率为99.9%,那也就意味着要在100万个误报中找到真正的攻击事件,要想克服这种检测数据上的不均衡性,需要大量的专业知识和多管齐下的检测策略。
但显然如果没有AI,事情只能变得更加糟糕。还是有一些方法来利用机器学习的力量来提高运营效率,以下是建议安全运营团队需要考虑的三项原则:
1. 人机合智
人工智能是对人类智能的补充,而不是替代。在复杂系统的环境中,尤其是在与快速适应的、智能化的对手对抗时,以主动学习为核心的自动化技术将带来极高的价值。人类的主要工作是经常性的检查机器学习系统,加入新的样例,不断的调整迭代。
2. 选择合适的工具
没必要成为AI专家,也能做出好的决策,但前提是确保选择了正确的工具。
- 首先,了解异常行为和恶意行为之间的区别很重要,因为它们常常是两回事,依据的检测技术也大不相同。前者很容易通过无监督异常检测发现,无需打标签的训练数据。但后者则需要监督学习,通常需要许多历史样例。
- 其次,具有高信噪比的警报对于安全运营团队来说至关重要,需要充分了解检测结果可能带来的影响,因为这些系统不会百分之百准确。
- 最后,虽然几乎各种机器学习技术都已在网络安全领域得到使用,积累大量的威胁情报签名仍然非常重要,因为一旦撞上这些签名,几乎可以确定攻击,省去了大量的关联分析工作。无论什么时候,签名都是检测已知威胁的关键基线。
3. 安全运营需要自动化
非常讽刺的是,许多信任人工智能驾驶汽车的网络安全专业人士,对人工智能在网络安全对抗中的作用持怀疑态度。但是,在海量数据和告警需要处理的今天,自动化操作是提高安全运营团队效率最有效的方法之一,基本上也是未来唯一的解决之道。
自动化将创造性思维从耗时的操作任务中解放出来,尤其是在检测高级威胁时非常有用,关联分析、优先级排序,自动执行低风险的控制措施(如隔离可疑文件或要求用户重新验证),这些都可以显著提高安全运营效率、降低网络风险。
综上所述,人工智能或机器学习至少在可见的将来无法成为唯一的网络安全策略。在数据的汪洋大海中寻找蛛丝马迹时,将机器智能与安全专家的人类智能相结合,是且仅是最为实际有效的技术手段。