OC
英语轻松读发新版了,欢迎下载、更新

人工智能如何增强安全运营 - SiliconANGLE

2025-01-05 16:11:08 英文原文

作者:GUEST COLUMN by Chris Corde

人工智能如何增强安全运营

人工智能正在顺利颠覆网络安全世界,但网络安全的某些领域比其他领域更适合早期颠覆。

在一个Insight Partners 最近的调查,安全运营(与 AppSec 一起)被评为第一大网络安全领域,首席信息安全官正在寻求实施生成式人工智能以提供更好的结果。这不足为奇,因为人工智能在解决数十年来困扰安全运营的一些复杂且资源密集型挑战方面表现出色,即: 

  • 异常和威胁检测:安全运营团队必须有效地分析和解释不断增加的数据量,以识别需要调查的潜在威胁。
  • 辛劳:安全操作中大量的手动和重复性任务会对工作质量和安全操作团队的士气产生负面影响。
  • 人才紧缺:经验丰富的安全运营专业人员很难聘用和留住,这使得让经验不足的员工执行复杂任务的技术变得非常有价值。

人工智能在安全运营中的五个实际用例

尽管人工智能在安全领域的发展还处于早期阶段,但生成式人工智能已经为安全运营团队带来了切实的好处。以下五个用例说明了人工智能在安全运营中的实际应用:

  1. 总结

如果安全团队在响应警报或事件时永远无法满足一件事,那就是时间。但了解实际情况通常需要筛选大量数据。 

人工智能可以自动生成安全事件的简明摘要,为分析师提供快速的情况概览。这可以节省宝贵的时间并实现更快的分类。此外,分析师还可以要求人工智能助手按需汇总信息。例如,人工智能可以总结最新的威胁情报报告,或者总结为解决事件而采取的行动列表以创建事件报告。

总结并不局限于最初的定位。例如,假设某个特定的搜索查询返回了 10,000 个结果,人工智能可以快速生成这些结果的摘要,以帮助分析人员只见树木。

  1. 调查

调查通常是安全操作中最耗时的部分。了解调查内容以及如何调查绝非易事,而且通常还需要生成复杂的搜索查询。 

人工智能可以通过启用自然语言搜索提示来协助调查。(想一想使防御者能够快速识别异常行为的提示,例如“向我显示上周在工作时间之外访问过“xyz”网站的来自“x”地区的所有用户。)这消除了分析师掌握复杂搜索语法的需要,甚至使初级分析师也变得更加高效。更高级的人工智能助手甚至可以建议下一步的调查步骤,或者自动显示人工智能模型认为对特定案例有用的附加上下文。

  1. 威胁狩猎

威胁追踪是一项复杂的功能,历来都是为高技能且成熟的安全运营团队保留的。威胁搜寻很复杂,因为它需要深入了解威胁形势,并了解如何实际搜寻威胁。

人工智能可以使威胁搜寻变得更容易,因为它可以通过识别可能表明恶意活动的模式和异常来主动搜寻威胁。当人工智能与威胁情报工具集成以了解威胁行为者使用的威胁、策略、技术和程序(TTP)以及妥协指标(IOC)并将其与公司特定的安全遥测相结合时,这一点尤其强大。诸如“在我的网络上寻找 Makop 勒索软件”之类的简单提示可以主动搜索并发现数据中已知与此攻击相关的 IOC 和 TTP。

  1. 检测/响应工程

创建检测规则和编写剧本是另一项 SecOps 任务,通常由专家安全工程师保留。它需要掌握特定平台使用的脚本语言,以及了解您实际需要检测的内容。

生成式人工智能可以创建检测代码或剧本来应对新威胁。只需使用诸如“为此案例构建检测规则”之类的提示,高级 AI 助手就可以了解案例的背景并创建检测规则以发现该案例的未来实例。与其他学科中的代码生成类似,不要指望开箱即用的 100% 完美代码。但即使人工智能能帮助你完成 70% 到 80% 的工作,它也可以改变生产力游戏规则。

  1. 恶意软件分析

如果说威胁追踪历来仅限于高级安全运营团队,那么逆向工程恶意软件确实是少数精英防御者的领域。由于令牌窗口的增加和大型语言模型的改进,人工智能已被证明在恶意软件分析方面非常有效。例如,先进的人工智能模型能够逆向工程复杂的恶意软件在不到一分钟的时间内,安全分析师可以立即了解恶意软件的运行方式,并在某些情况下,提供有关恶意软件“终止开关”的清晰且可操作的信息。 

培育人工智能文化

上面概述的用例正在为当今的安全运营团队带来切实的成果,但我们自然处于人工智能的早期阶段,随着技术的成熟,用例无疑会不断发展。安全团队今天应该开始做的是培育人工智能文化,并思考如何将人工智能集成到检测、调查和响应工作流程中。以下是一些简单的入门步骤:

  • 提供人工智能培训和教育:为您的团队提供有效理解和利用人工智能工具所需的知识和技能。
  • 鼓励实验和创新:营造一个安全的环境,让团队成员可以探索新的人工智能应用程序和解决方案,而不必担心失败。
  • 展示人工智能的价值:展示人工智能如何改善网络安全成果并让他们的工作变得更轻松的真实示例。

人工智能的发展有望在持续的网络威胁斗争中将效率、准确性和主动防御提升到新的水平。俗话说,最好的开始时间是昨天,其次是现在。

Chris Corde 在网络安全领域拥有 20 多年的经验,担任 Google 产品管理总监,负责管理安全运营 PM 团队,该团队包括 Chronicle、Siemplify、VirusTotal 和 Mandiant。他为 SiliconANGLE 撰写了这篇文章。

图片:kanawatTH/Canva

您的支持票对我们很重要,它有助于我们保持内容免费。

一键点击即可支持我们提供免费、深入且相关的内容的使命。一个 

加入我们的 YouTube 社区

加入由超过 15,000 名 #CubeAlumni 专家组成的社区,其中包括 Amazon.com 首席执行官安迪·贾西 (Andy Jassy)、戴尔技术公司 (Dell Technologies) 创始人兼首席执行官迈克尔·戴尔 (Michael Dell)、英特尔首席执行官帕特·基辛格 (Pat Gelsinger) 以及更多名人和专家。

–TheCUBE 是该行业的重要合作伙伴。你们确实是我们活动的一部分,我们非常感谢你们的到来,我知道人们也很欣赏你们创建的内容 — — Andy Jassy

谢谢

关于《人工智能如何增强安全运营 - SiliconANGLE》的评论

暂无评论

发表评论



摘要

人工智能越来越多地在网络安全领域得到采用,特别是在安全运营 (SecOps) 领域,它可以解决异常检测、重复性任务和人才短缺等挑战。Insight Partners 的一项调查表明,首席信息安全官正在优先考虑生成式 AI,以增强 SecOps 成果。实际用例包括总结安全事件以加快分类速度、自然语言搜索提示以进行高效调查、通过模式识别进行主动威胁搜寻、自动创建检测规则和手册以及高级恶意软件分析。为了利用这些优势,组织应该通过提供培训、鼓励实验和展示人工智能在网络安全中的价值来培育人工智能文化。

相关新闻

相关讨论