AI在网络安全行业中有什么样的影响

当前网络安全领域攻击与防御的协同进化如火如荼。像人工智能（AI）和机器学习（ML）这种先进的技术同时为恶意的攻击者也带来了攻击技术演进的机会。简单来看，对网络安全的需求比以往任何时候都更加重要。AI/ML工具在帮助抗击网络犯罪方面可能走了很长一段路，但是这些技术并非无所不能，也会被恶意黑客利用。人工智能将致力于极大地提高网络安全性，但黑客也可将其用于网络犯罪活动，这是对网络安全的真正威胁。AI可以有效地分析用户行为，推导模式并识别网络中的各种异常或不正常情况。有了这些数据，可以快速轻松地识别网络漏洞。反之，现在依赖于人类智能的职责将易于受到模仿合法的基于AI算法的恶意程序的攻击。一些企业正在热衷于将其基于AI/ML的概念或产品推向市常但AI/ML的局限性，导致他们可能会忽略算法正在产生错误或虚假的安全感。

1

网络安全行业AI应用火热

技术和业务领导者已将网络安全行业作为当今企业中人工智能（AI）和机器学习（ML）的顶级高级用例之一。根据最新研究，在未来五年里，网络安全中的AI技术有望以每年23％的速度增长。到2026年，网络安全AI市场将从去年的88亿美元增长到382亿美元。

2020年，网络安全领域的AI将显著增长。根据Capgemini去年的《用人工智能重塑网络安全》报告研究结果显示，在2019年之前，只有五分之一的网络安全组织在其技术栈中使用了AI。但是Capgemini的研究人员表示，AI采用率将直线上升，大约有63％的组织计划在2020年底之前部署AI。最具有潜力的用例是在运营技术（OT）和物联网（IoT）。

2

AI在网络安全行业的优势

人工智能可能会是网络安全的救星。根据Capgemini研究结果显示，80％的公司都依靠AI来帮助识别威胁和阻止攻击。这是一个很大的要求，因为实际上，很少有非专家真正了解AI对安全的价值，或者该技术是否可以有效解决信息安全的许多潜在用例。

发现新型恶意软件并不是部署机器学习以提高网络安全性的唯一方法：基于AI的网络监视工具还可以跟踪用户的日常行为，从而了解其典型行为。通过分析此信息，AI可以检测异常并做出相应的反应。

领先的网络安全公司Darktrace使用机器学习来检测威胁，该公司联合首席执行官Poppy Gustafsson表示，“人工智能使我们能够以一种智能的方式做出反应，了解违规行为或行为改变的相关性和后果，并实时制定相应的反应。”

据悉，Darktrace的工业免疫系统是一项尖端创新，可为运营技术实施实时的“免疫系统”，并实现传统网络防御方法的根本转变。该系统以贝叶斯数学和无监督机器学习为基础，对复杂的网络环境进行分析，以了解每个网络，设备和用户的“生活模式”。该技术不依赖于过去的攻击知识，而是像人类免疫系统一样运作，并且可以通过检测预期行为的细微变化来发现以前未知的威胁。

网络安全主管越来越相信AI对于增加响应时间和降低预防漏洞的成本至关重要。根据Capgemini的《用人工智能重塑网络安全》研究，四分之三的高管表示，网络安全领域的AI可以加快对漏洞的响应速度，无论是在检测还是补救方面。约有64％的人表示，这也降低了检测和响应的成本。

尽管人们对过度依赖AI存有疑虑，但人们似乎正在为一种中庸之道建立共识，AI并不是魔杖，而是一种有助于增强SOC和整个安全组织的人类智能（HI）的有用方法。根据White Hat的《人工智能与人类要素安全情感研究》，大约70％的安全专业人员同意AI通过消除多达55％的手动任务来提高团队效率。这有助于他们专注于更重要的任务并减轻压力水平。

3

AI在网络安全行业的局限

经验丰富的网络安全专家们现在正在研究的问题是：“人工智能到底能在多大程度上帮助改善安全状况和安全运营？”AI在网络安全中的成熟度到底如何？它能取代安全团队吗？网络安全行业在2020年的发展很大一部分将是如何有效平衡人工智能（AI）和人类智能（HI）。

网络安全是否会信任AI？

尽管AI驱动的网络安全不断向前发展，许多安全专业人员仍认为，人类智能（HI）仍将根据具体情况提供最佳结果。白帽安全公司（White Hat Security）在RSA大会上进行的一项最新《人工智能与人类要素安全情感研究》表明，60%的安全专业人员仍然对由人类验证的网络威胁结果比人工智能生成的结果更有信心。大约三分之一的受访者表示，直觉是推动人类分析的最重要的人为因素，21％的人认为创造力是人的优势，20％的人认为以前的经验和参考框架是使人们对安全操作流程至关重要的因素。

网络安全AI真的准备就绪？

Osterman Research的《网络安全中人工智能现状》研究表明，在部署的早期阶段，部分问题是人们强烈认为AI尚未准备就绪。一些常见的投诉包括结果不准确的问题、在端点上放置某些类型的AI平台的性能权衡、使用困难以及对误报的担忧。

无法训练AI达到专家级水平？

网络安全专家认为，他们对人工智能的过度依赖也令人担忧，因为他们认为他们所做的工作过于复杂，无法被机器复制。去年Ponemon的《自动化时代IT安全功能的人员配置》报告调查结果显示，超过一半的安全专家表示，他们将无法训练AI来完成其团队执行的任务，并且他们更有资格实时捕获威胁。几乎一半的人还报告说，人为干预是网络保护的必要条件。

AI可否取代专业的安全人员？

但是，尽管AI和ML确实为网络安全提供了好处，但对于组织而言，重要的是要认识到这些工具并不能代替人类安全人员。因此，关于AI将解决网络技能危机的任何想法都具有广泛意义。实际上，这些解决方案通常需要安全团队花费更多的时间，这一事实经常被忽略。

例如，基于机器学习的安全性工具可能会被错误地编程，从而导致算法遗漏意外甚至明显的事情。如果该工具由于没有经过编码以考虑某些参数而错过了特定类型的网络攻击，那将会导致问题。确实，AI和ML可能会产生其他问题，因为尽管这些工具有助于防御黑客，但网络犯罪分子自己很有可能会使用相同的技术来使攻击更加有效。

例如，可以使用ML自动发送网络钓鱼电子邮件，并学习在活动中使用哪种语言，生成点击的原因以及应如何针对不同目标进行攻击。

例如，以异常检测为例。对于安全运营中心分析人员而言，能够发现网络中的任何“坏东西”确实很有价值，并且机器学习可以很好地解决此问题。但是，找到比以前更多“坏东西”的算法可能并不像听起来那样好。所有ML算法都有一个误报率（当事件是良性事件时将其标识为“不良”），其值是各种所需行为之间权衡的一部分。因此，仍然需要人工来分类这些结果，而且算法发现的“错误”越多，团队成员需要评估的事件就越多。

这并不是说这对于熟悉ML的人来说是一个特别令人惊讶的结果，只是对于那些希望采用这些解决方案的团队来说，这并不一定是常识，这可能导致人们对ML可以为他们节省多少时间的期望过高。

尽管上面的示例是关于如何将ML算法直接用于完成安全团队的某些工作的示例，但是算法也可以用于帮助用户避免犯可能带来风险的错误，从而间接地为他们提供帮助。这种方法之所以令人兴奋，是因为它开始着眼于减少进入渠道的可能事件的数量，而不是试图在事件最终导致安全事件时识别并减轻它们。不仅仅是解决最明显的问题，从长远来看，这些问题可能会带来预期的结果。

考虑ML时，另一个容易忽略的问题是数据问题。任何ML算法只有在有足够的数据可供学习时才能工作。学习需要时间。试想，在识别猫之前，您需要显示多少张互联网猫图片？模型开始运行之前，算法需要运行多长时间？学习过程所花费的时间可能比预期的长得多，因此安全团队需要考虑这一点。此外，对于某些用例而言最佳的标记数据在安全性方面供不应求。这是另一个需要“人员参与”来对安全事件进行分类并协助算法训练的领域。
责任编辑：tzh