AI/ML 在安全環境中的價值
超越市場炒作
人工智慧 (AI) 和機器學習 (ML) 現在是 IT 安全領域中隨處都可聽到的名詞,而企業及攻擊者雙方 也都不斷嘗試利用這些先進的技術來達成他們的目標。對於惡意行動者來說,他們的目的就是 癱瘓防禦系統並迅速找出弱點。但對於想要保護企業的一方來說,AI 和 ML 又能提供什麼樣的 協助?
在理想的情況下,這些技術應該就是保護網路安全性的終極武器,在順利取得這些方法後就能完全保護您的企業。 但事情似乎沒有那麼簡單。並非所有 AI 和 ML 都能達到相同的效果。若要搶先一步做出結論,我認為就算使用最 新的演算法也非真正的解決之道。
不過,若要能夠快速因應現今威脅形勢所帶來的挑戰,AI 和 ML 仍是構成整體安全解決方案的關鍵要素,我們也 應把重心放在最後的成果上,那就是防禦任何類型的攻擊,即使在遭到入侵的情況下也能以最快的速度做出回應。
AI 並非唯一的答案
人工智慧本身並不是決定安全性優劣與否的關鍵因素。事實上,目前有許多不同的 AI 架構和模式都已廣泛運用在 各個領域中。一般來說,這些架構幾乎都來自學術界,並以開放原始碼的形式提供給所有人公開執行。因此 AI 架 構本身並非造成差異的原因。決定優勝劣敗的關鍵在於使用 AI 的方式以及 AI 能夠取得哪些數據。
對於網路安全性來說,是什麼讓 AI 更能發揮功效且更具智慧?
無論目的為何,透過機器學習方式來學習如何運作的 AI 會需要更多的高品質數據才能發揮效用。唯有透過大量的 高品質數據才能讓 AI 了解所有可能的情境。若 AI 能取得更多的真實世界數據,就能變得更聰明並充分利用更多的 經驗。
我們可以從網路安全性的角度來思考這個問題。僅從單一部署或威脅途徑進行學習是絕對不夠的。我們需要的是能 夠透過所有部署進行學習的解決方案,以及能夠從所有使用者 (非侷限於單一企業) 取得資訊並加以利用的工具。 簡單來說,可供利用的環境和使用者越多,AI 就會越聰明。為了達到這個目的,您還需要一套能夠處理大量不同 類型數據的系統。
所謂的 AI,並不是只有使用電腦來執行簡單的數學運算而已。雖然數據確實是 AI 能發揮效用的關鍵因素,但 AI 和 ML 本身也必須融入整個作業程序中。AI 和 ML 不應該視為一種單獨的技術,事實上,它們應該是能夠讓安全 程序和運作發揮更大價值的支援技術。
最成功的 AI 技術應能夠結合大量的 ML 統計模式比對以進行學習,並且加上其他的技術來整合如領域知識等資訊 以提供一種混合系統。一般來說,僅透過 ML 所衍生的統計技術並無法因應全新發展、之前從未見過的威脅,也可 以說缺乏與其有關的基本統計資料。同樣地,雖然領域專業知識可用來建立邏輯 (通常會部分衍生自大規模的數據分析) 以更有效地防禦及偵測特定的攻擊策略和技術,但若只偏重專家系統來匯集這些見解,反而會在各個部署之 間出現不平衡和偏差的錯誤率。我們所需要的 AI 系統必須能使用 ML 的統計資料並整合來自系統其他部分的領域 見解,以推導出新型態的攻擊同時維持整體的一致性和低錯誤率。
AI 和 ML 能夠為網路安全性提供的真正價值
從最基本的層次來看,在企業安全領域中對於 AI 和 ML 的妥善運用將能讓安全作業中心 (SOC) 團隊更有效率地以 更精簡的人力做更多的事。它同時也是一種可加強企業能力的倍增因子,並將分析人員的專業技能引導至正確的方 向以善加利用他們的豐富經驗。
在安全領域中常見的 AI 和 ML 使用案例就是建立一般作業基準,然後在出現潛在異常狀況時向團隊發出警示。AI 和 ML 也可用來識別經常執行的例行性工作,以藉此提升營運效率。該技術可建立或建議自動化劇本以節省更多時 間和資源。
此外,AI 和 ML 也有助於加強自動化效能,對於人力和資源經常受限的環境來說,可說是一種能提升可擴充性的 關鍵因素。現在幾乎所有的 SOC 都必須以更少的人力來面對數量更多、型態也更複雜的威脅。歸根究柢,AI 和 ML 的目標就是以更快的速度使用非常稀少的資源,藉以協助提供良好的安全成果。