人工智能时代的网络安全新思维

关键要点

• 近年来，人工智能（AI）得到了迅猛发展，许多科技公司纷纷推广他们的AI解决方案。
• 组织应关注基础内容，比如能见度，以便更好地利用当代AI技术。
• AI成果高度依赖于所使用的数据质量，而非仅仅是算法。
• 行为分析逐渐成为网络安全中的重要应用，取代传统的基于签名的检测方式。
• 提高网络的能见度是企业投资AI时的关键，可带来即时的投资回报。

随着人工智能（AI）成为这一年的热门话题，几乎每个主要科技公司都在急于整合和推广他们的AI解决方案。然而，许多组织其实早在十多年前就已经在使用AI和机器学习（ML）。尽管近期对AI解决方案的热情可以理解，但在这一领域工作多年的技术专业人士知道，这些新产品并非没有局限性。

为了让安全团队充分利用当今正在开发的下一代AI解决方案，组织应更好地专注于某些基础内容，例如能见度。例如，通过发现和分类设备来优化数据。因为AI的有效性取决于其所接收的数据。

在接下来的五年内，AI产品的强大程度几乎是无法预测的，但截至目前，其表面光鲜之下仍然存在不少问题。例如，ChatGPT能够生成非常引人注目和可信的内容——即使是脚本和代码——但也因其“自信地错误”以及一些“”错误而受到批评。同样，AI驱动的图像生成器在捕捉人类手部细节时也遇到困难。

安全团队应意识到，AI的结果完全依赖于技术接收的数据。这些模型所消耗的数据的质量，显然比算法本身更为重要——因此，数据的质量所带来的价值远高于数据的数量。例如，)，因为在短短24小时内，Twitter用户向其灌输大量仇恨言论，使得其回答变得猥亵而被迫关闭。

从基于签名的检测到行为分析

AI产品在网络安全领域展现出很大潜力，部分原因是传统的基于签名的检测方法迅速成为过时的模式，且被威胁行为者轻松绕过。基于签名的检测只能识别先前被检测并分析的威胁，这就需要网络安全提供商雇佣大量安全分析师，并维持客户部署的临界质量，以确保其“”。最关键的是，这种方法还要求客户不断下载和部署签名更新，以便跟上趋势。

签名检测只对“已知”威胁有效。尽管这种技术并非多余，但其目的确实随着时间变化。可以将它视为一种高速度、低计算强度的噪声抑制系统。然而，威胁行为者已经意识到基于签名检测的局限性，变异和多态恶意软件会不断更新和重新编译，以超越静态检测。高级威胁行为者还会利用从未被发现的零日攻击。尽管不同厂商的签名检测率不一，但整个网络安全市场在过去十年已转向满足对替代产品的需求。

行为分析成为AI产品中一种日益普遍的应用。基于签名的检测向行为分析的转变，基本上是从识别已知坏行为转向识别偏离已知好行为的过程。

基于签名技术的低检测率目前已被更高的假阳性率所取代。例如，如果一个AI产品经过两周训练，在这期间可能未能学习到月度或季度事件，进而将其标记为异常，尽管这些并没有恶意。AI产品之所以会出现假阳性，还因为缺乏足够的干净、上下文