网络安全 系统已经成熟,可以中断。 多年来,各种工具激增,每种工具都有自己的数据格式,导致大量不同的数据。 此外,全球缺乏能够评估数据的熟练网络安全分析师(如果你能找到它们,他们会非常昂贵)。 最后,黑客一直在变得更聪明、更有创造力。 人工智能应该是解决这些问题的方法,但它在大规模解决问题方面的作用有限,因为它需要大型、经过深思熟虑的基础设施。 在本文中,我们将看看 网络安全中的人工智能 系统以及它如何成为真正的变革性技术。
像蛇油一样的人工智能
描述网络安全解决方案的营销文献中经常提到人工智能,但到目前为止,它并没有你想象的那么具有变革性。 尽管市场规模以 20.5%的复合年增长率,人工智能在安全问题上仍然难以部署。 如果你走进现代 安全运营中心(SOC),您可能会发现一些带有一些难以阅读的仪表板和 CNN 的大型电视,以及可能会发现他们的工作很痛苦的安全分析师,因为他们正在花费时间手动关联数据并试图了解他们的企业正在发生的事情面对越来越复杂的攻击。 如果人类这样做,这就引出了一个问题, “人工智能在哪里?”
网络安全 是一个混乱的操作问题,这也是 AI 转型缓慢的原因。 当威胁通常看起来与正常活动相同时,跨数百个遥测源在企业中发现威胁是一个非常困难的问题。 此外,来自每种安全工具的数据可以采用不同的形式,并且必须经过规范化才能用于训练 AI 系统。
无论行业和用例如何,人工智能都从数据中学习—— 人工智能引擎 必须接受数据训练,这样它才能开始了解什么是异常,什么不是异常。 这就是安全问题如此混乱的原因:每个企业的安全数据看起来至少有一点不同,使用不同的工具和行为模式,最多看起来数据大相径庭。 安全领域没有黄金训练数据集可以像图像或语音识别系统那样获得许可。 如果您想使用 AI 解决安全问题,您必须创建和获取自己的数据。
规范化数据以使其对 AI 引擎有用是一个巨大的挑战。 这个问题非常有价值,Scale AI 是一家为 AI 开发创建数据 API 的初创公司,主要专注于无人驾驶汽车应用程序, 成立不到五年,估值达到 7 亿美元. Scale AI 已经将许多世界上最具创新性的组织视为其客户。
变革性的人工智能将采取什么措施
安全领域的人工智能最终将具有变革性,无论是在进攻端还是在防守端,但这是另一天的故事。 在这里,“变革性”意味着广泛变革,涵盖安全的所有部分,因此它从根本上改变了企业开展安全的方式。 目前,我们必须满足于人工智能可以提高安全性的一些有限应用。
尽管如此,人工智能在安全方面仍有一些亮点。 通过思考数据问题很容易找到这些。 安全堆栈的哪些部分生成干净、可训练的数据? 电子邮件欺诈和恶意软件检测是两个很好的例子: 人工智能引擎 可以从可用的网络钓鱼示例或恶意软件签名中学习并发现类似的漏洞。 跨客户电子邮件和恶意软件沙箱的数据可用于训练支持企业产品的 AI 模型。 对于检测横向通过网络移动的攻击(例如,从防火墙到 Active Directory 服务器再到数据服务器)等问题,实施相同的培训要困难得多,因为这种横向移动在每个企业中看起来都会有所不同。
创建将广泛保护企业所有数字业务的人工智能将在某种程度上类似于当今无人驾驶汽车公司所做的努力。 例如,自 2009 年以来,Waymo 的无人驾驶汽车软件已经在超过 15亿英里的模拟驾驶和超过20万英里的公共驾驶体验. Waymo 采用严格的方法在不同保真度级别(模拟、封闭路线、现实世界)进行测试,执行具有数千种变化的场景,同时收集数据以进行改进。
这在安全方面并不是一个完美的人工智能类比,但它非常好——使用模拟数据进行测试,在实验室环境中使用模拟或真实攻击进行测试,以及在不同企业的实际操作中进行测试。 与整个企业安全堆栈中更难的数据问题相比,真正由人工智能驱动的产品将更早地出现自然访问更清洁数据的安全问题。 实现这一目标需要时间和资金,而无情地专注于数据问题的创新将首先开启广泛的转型。 今天,许多安全工具不再关注数据规范化,因为它们往往被孤立在整个基础设施的特定痛点上。
安全领域的变革性 AI 会是什么样子
想象一下,每个 IT 计划、配置、安全日志和警报都可以由该特定领域的世界领先的人类安全专家实时审查,而不会中断业务运营。 想象一下,企业分析师可以咨询该专家并从该专家那里获得指导。 安全领域的人工智能最终会有这种感觉。
如何? 建立在深思熟虑的数据资产之上、降低数据复杂性的产品最终将成为品类之王,否则该产品将无法在客户之间发挥作用,它将成为具有类似服务利润的产品,并且无法扩展。 (Andreesen Horowitz 有趣地发现,他们的大多数企业 AI 公司 由于构建和扩展 AI 的固有成本,利润率远低于同类 SaaS 业务.)
这些未来的类别之王首先必须投资于数据基础设施和收集,可能需要数年时间,然后才能真正将他们的数据视为资产并帮助其产品的自我改进性质。 然而,一旦这些公司大王获得了真正的人工智能数据资产,他们的创新步伐即使不是不可能被竞争对手匹敌,也将难以匹敌,只要他们仍然能够保持直观的产品,他们就会被加冕为品类大王。 因此,正如搜索引擎类别迅速整合到谷歌一样,数据密集型网络安全解决方案也会发生同样的情况。 具体来说,寻找安全信息的重大整合和 活动管理(SIEM), 扩展检测和响应(XDR), 端点检测和响应(EDR)和 网络检测和响应(NDR) 市场。
因此,正如前面的电子邮件欺诈和恶意软件示例所述,人工智能首先出现在数据复杂性较低的较小问题上的安全性上。 然后人工智能将慢慢部署到更复杂的数据问题,但只有无情地专注于管理数据复杂性的产品才会出现有意义的 人工智能引擎。 为了有效,人工智能驱动的安全程序必须能够从所有可用的安全工具和威胁源中收集数据,然后对这些数据进行规范化,以便对训练人工智能引擎有用。 这就是人工智能在网络安全领域的未来。
关于作者
Sam Jones 是 Stellar Cyber, Inc. 的产品管理副总裁。他是一位经验丰富的产品开发领导者,在构建客户喜爱的 AI 和安全产品方面有着良好的记录。 他在 AI/ML、数据基础设施、安全、SaaS、产品设计和防御方面拥有深厚的背景。 Sam 曾在 Palantir Technologies 和 Shield AI 等公司担任产品和工程职位,并曾在美国空军从事网络防御战略工作。 他在康奈尔大学获得电气和计算机工程学士学位。
