人工智能驱动的威胁检测:未来的威胁检测需要人工智能
威胁检测和响应是企业网络安全的缩影——它是识别潜在安全威胁的流程和技术的统称。需要捕获的攻击和技术种类繁多,包括恶意软件、未经授权的访问、数据泄露或任何其他可能损害组织信息系统的完整性、机密性或可用性的活动。
它不仅是 安全运营中心有责任控制上述所有情况,目标是尽早发现这些威胁,以最大限度地减少损害。这是一项艰巨的任务;尤其是在依赖纯人类团队的情况下。本文将把威胁检测和响应分解成各个组成部分,并看看人工智能驱动的威胁检测将在哪些方面带来最大的变化。
黄金标准:NIST 网络安全框架 (CSF) 2.0
NIST CSF 2.0 将检测和响应分为五项核心能力。总的来说,这些能力决定了团队以有凝聚力和可操作的方式预防、识别和应对攻击的可能性。
读码器
作为五项核心能力中的第一项,识别位于 NIST“圆圈”的顶端是有充分理由的。第一步需要深入了解分散在整个企业中的所有资产和供应商。在许多组织中,这本身就需要进行结构化的深入审计。虽然将整个组织的资产一目了然是理想的,但手动资产评估的现实情况要零散得多。团队将一次确定范围并审计特定的业务部门或项目,并在进行过程中创建清单。
然后,他们需要将单个资产与它们面临的风险结合起来。漏洞扫描工具有助于加快这一过程,但值得注意的是,初始资产识别项目需要付出巨大的努力。由于评估由各个团队进行,漏洞扫描器通常会分析企业内封锁部分的“快照”。
保护
身份功能为保护奠定了基础——然后必须积极防止恶意行为者利用其内部或周围的任何漏洞。许多经典的网络安全工具都适合这一角色,无论是防止帐户被盗用的身份管理和访问控制,还是阻止奇怪网络活动的防火墙。
传统的保护方式——即为代码漏洞百出的应用程序安装补丁——正变得越来越危险。高风险 CVE 发布与实际利用之间的时间间隔通常太短,25% 的高风险 CVE 在发布当天就被利用。
检测
如果攻击者已经突破了防御,常见的 TTP 就是在受害者环境中徘徊足够长的时间,以确定下一步的最佳行动。在内部威胁检测的情况下,这是攻击的底层。
最流行的检测工具仍然是基于签名的。这些工具通过分析传入的数据包来发现任何可疑代码的迹象。然后将分析的部分与先前攻击模式的最新数据库进行比较。
回应
当发现恶意文件或受感染的网络时,就该做出响应了;这个过程决定了潜在的网络安全事件是否得到有效控制。这个阶段的压力很大,因为错误的响应可能会进一步损害客户的声誉。例如,虽然关闭所有网络访问可以很快阻止任何恶意软件的传播,但也会使组织陷入紧张状态。
相反,应对措施需要清晰的沟通以及对受损设备和用户帐户的彻底清除。
在复杂的攻击中,通常需要清除受影响的设备并重新安装操作系统。
恢复
成熟的网络安全策略的最终能力是识别先前违规或事件中的缺陷,并重新振作起来。响应时间数据为制定了明确安全策略、定期审核和专职 CISO 的组织提供了有力支持 - 率先采取行动的组织通常可以在 7 天内恢复股价。
GenAI 如何强化链条上的每一个环节
每个组织在优化威胁检测流程时都面临着各自的挑战。然而,到目前为止,人工智能威胁检测已不断证明其在解决一些最大问题方面的价值——尤其是在精益团队中。
自动资产发现
实时分析
人工智能的防御用途已经多种多样,就像它希望阻止的威胁一样。一些最有趣的发展包括 使用 ChatGPT 分析网站是否存在网络钓鱼迹象 并且 LLM 能够通过可疑词语集群识别恶意 API 调用序列。人工智能驱动的威胁检测能够深入到源代码和可执行数据中,从而提供比人工审查更细致的洞察。
行为分析
人工智能的真正力量在于它能够从发生的广泛活动中收集数据。当使用真实组织的高度多样化数据集进行训练时,它将成为建立正常网络和设备行为基础的重要工具。然后,这些活动模式可以输入到始终在线的异常检测中。这样,任何异常行为都可以被标记为值得关注的原因。为了减少误报的数量,同一个分析引擎还可以收集更多围绕事件的上下文数据,以确定其合法性。
最后,所有这些都可以发送给人类进行真正的验证;这种反馈对于关闭人工智能的反馈回路并确保其持续改进至关重要。
利用 Stellar Cyber 将 AI 引入你的武器库
Stellar Cyber 的扩展检测和响应 (XDR它将五阶段威胁检测流程简化为一个连续且易于操作的整体。与使用各种不同工具进行混乱的快照式检测不同,我们的 XDR 提供跨网络分析,以发现端点、应用程序、电子邮件等中的潜在风险。 今天就通过深入的演示亲自体验一下.
