AI+人类，实现高效网络安全

导语

聊天机器人和生成式人工智能（如 ChatGPT）突然成为主流让很多人感到担忧。很多人开始担忧，人工智能取代人的时代已经到来。幸运的是，事实并非如此。

更有可能的情况是，人类将与 AI 合作创建工作角色的混合模型。这在网络安全方面尤为明显。人工智能最常用于执行人类无法完成的任务：例如，执行 24/7 监控并在海量数据集中发现行为和模式的异常。一旦检测到可能的威胁，就由人类来确定 AI 发现的是实际威胁还是误报，然后决定正确的缓解指令。

“人工智能只是大规模的线性代数；人类决定训练集和用于进行代数运算的特征，”Netenrich 的首席威胁猎手 John Bambenek 在接受电子邮件采访时说。一旦它学会了，人工智能就可以比人类更快地做一些事情，比如在混乱的结构中寻找模式。但有时直觉是必要的，而现在，这是人类相对于机器的一大优势。

ChatGPT和网络安全

一段时间以来，人工智能一直是网络安全平台不可或缺的一部分，但聊天机器人的兴起改变了对话。我们知道聊天机器人可以用来制造新的威胁和网络攻击，但它可以在网络安全系统中用于抵御攻击吗？

Resilience Insurance 的首席信息安全官 Justin Shattuck 表示：“ChatGPT 和类似技术，例如微软将 OpenAI 模型用于 GitHub 的 Copilot 服务，将有助于打破网络安全中的障碍。”

聊天机器人是一种工具，可以提供更详细和可操作的信息，帮助安全分析师更有效地采取行动。安全团队一直在与噪音作斗争，围绕聊天机器人的技术可以成为消除干扰噪音的高效工具。

能够使用与服务集成的现有工具来帮助破译、翻译、解码和理解复杂信息，这将有助于减少进入障碍以及对事件采取行动所需的时间，进而提高安全团队的效率。

当下AI需要人类

在网络安全中越来越多地实施人工智能，经常被认为是解决技能差距和熟练网络安全专业人员短缺的一种方式。不可否认，人工智能在处理经常导致倦怠的重复性任务方面做了很多工作。

但是人工智能需要人类。安全专业人员在监督机器被要求执行的行为和任务方面发挥着至关重要的作用。作为人类，我们应该去采纳和使用更多的机器人，更多的自动化和更多的人工智能，借助机器的力量来解决那些平凡和消耗时间的人，进而把人类宝贵的经历投入到更加有意义的地方：思考和解决计算机目前无法处理的复杂问题。

而且我们已经知道 AI 不是无所不能。如果人工智能能够接管所有网络安全功能，我们现在就已经解决了垃圾邮件问题，简而言之，攻击者在欺骗自动化系统方面拥有近 30 年的经验，而且这些能力也在不断地增加。

归根结底，网络安全是一个人类问题，技术加速了这一问题。我们这个行业存在的全部原因是因为人类的创造力、人类的失败和人类的需求，每当自动化‘解决’了一系列网络安全防御问题时，攻击者就会简单地用更新的技术创新突破这些防御来实现他们的目标。

如果有一天一切终于结束的时候，那应该是这样：技术解决了平凡的挑战，让人类专注于他们擅长的事情，战略性地确定下一步要解决的问题，接着由机器执行并重复。

因此，人工智能不太可能完全接管网络安全功能。未来，我们将需要人类操作员将直觉、创造力和道德决策带入网络安全。

AI参与保护和预防

通过以下五大应用场景，AI 采用者正在大力投资保护其业务的潜在价值。

应用 AI 来实现端点发现和资产管理。未经授权的设备在组织传统安全策略的雷达下运行，因而难以检测。AI 可以学习与特定资产类型、网络服务和端点相关的上下文、环境和行为，随后企业可以限制对授权设备的访问，并防止访问未经授权的非托管设备。

应用 AI 实现漏洞管理。AI 驱动的漏洞评估可以帮助识别配置不当的设备，以便管理员删除或重新配置这些设备。运营技术 (OT) 环境中的主动漏洞扫描可能会破坏系统的稳定性，但组织可以运用 AI 和自动化来执行被动监控。此外，AI 还可以提供关于漏洞攻击的信息，从而帮助客户确定漏洞修补优先级，以便采取基于风险的漏洞管理方法。

应用 AI 来实现访问管理。企业可以运用 AI 来审计用户和应用对数据和服务的访问。建立了对敏感资源的授权之后，AI 就可以协调整个控制平面的活动，包括监控行为、标记异常、生成上下文洞察、发送预警以及启动补救措施。

应用 AI 来实现威胁模拟。威胁模拟器可以连接至组织网络中的软件端点，以便模拟网络安全事件的生命周期。它不需要与生产服务器或端点交互即可测试实时安全防御，从而让企业能够在不影响其运营的情况下识别并填补防御体系中的漏洞。

应用 AI 来实现身份管理。零信任安全运营对 IT 基础架构和安全身份验证功能提出了更高的要求，尤其是需要近乎实时地解析身份。尽管零信任可以大幅增强运营能力，但也对运营能力和协调提出了新的挑战（例如，支持远程工作人员使用来自多个位置的多个设备）。AI 可以结合历史行为、情境化数据和基于角色的策略来创建独特的用户配置文件，从而增强身份验证服务。

AI 加速检测和响应

AI 采用者正在运用 AI 和自动化来大幅提高其网络安全员工的工作效率，并通过一些关键绩效指标来进行衡量。以下 5 个应用场景演示了具体应用。

自动检测和响应。安全 AI 和自动化可自动收集、集成和分析来自数百甚至数千个控制点的数据，并整合系统日志、网络流、端点数据、云 API 调用和用户行为。再结合威胁管理和预警优先级排序，组织可以通过端点检测和响应 (EDR) 以及跨层检测和响应 (XDR) 功能来为现有遥测解决方案提供强力补充。这使安全运营团队能够充分了解安全异常的情境、确定优先级顺序并投入足够安全人员来调查高影响威胁。

威胁情报。借助基于 AI 的安全智能，组织可以分析实时数据流以实时检测异常行为。结合跨域安全信息（通过集成内部遥测信号与外部情报源）可在切实可行的窗口中提供切实可行的情报，从而提高安全策略的有效性，尤其是与紧急威胁相关的安全策略的有效性。此外，还可以跨云环境应用相同的程序来扩展日志捕获功能 — 扫描可能指向更难以解释的攻击特征的不规则配置，例如零日攻击和高级持续性威胁 (APT)。

案例管理。借助安全案例管理功能，安全团队可以收集可疑活动的相关信息，并利用与案例相关的详细信息和日志来升级调查。应用 AI 可以提高数据的处理速度和处理量，还可以集成数据科学技术，从而自动对文档中的数据进行识别和分类。由于 AI 可以理解上下文，因此可以按主题对数据进行分组，而无需事先分类，从而帮助安全团队运用识别到的相关数据来进行推理并查找不明显的相似点。

威胁管理。AI 可以有效对预警进行分类，并区分假阳性和假阴性，让安全分析师能够首先关注最关键的预警，并大幅降低错过关键事件的几率。AI 还可以根据攻击特征、危害指标 (IOC) 和行为指标 (IOB) 对威胁特征进行分类和优先级排序，并触发预警。

行为建模和异常检测。自动化 AI 安全模型可以识别异常行为、动态评估漏洞并标记异常活动，包括所有潜在的危害指标。随后，机器学习可以根据情境变量、历史先例或威胁情报来源等各种因素来提出补救方案，并在特定控制点更新策略管理。