人工智能和机器学习在网络安全项目中的实施应如何推动？

关于人工智能（AI）和机器学习（ML）在网络安全领域中的应用已经在业内谈论颇多，国内诸多安全厂商也都纷纷开始介入这些技术，以其帮助用户在网络安全建设方面实现更佳的效果，但至少在当前，也许我们还无法探求它真实的落地能力是如何的。前段时间在接受安全419采访时，国内网络安全企业——金睛云华的联合创始人胡文友曾表示，AI在网络安全中的应用还有很长的路要走。
 

安全419创始人MT（左）对话金睛云华联合创始人、副总裁胡文友
 

胡文友在采访中告诉我们，金睛云华尽管在国内的AI+安全领域中算是介入非常早的一家企业，但目前来看，这一领域仍处在一个偏早期的阶段，目前主要是通过AI技术的引入，去解决一些传统技术较难处理的问题。他也坦率地指出，AI目前在网络安全领域所能解决的问题还是非常有限的，他用了一个很直观的比例来形容，那就是AI技术在解决复杂的安全问题方面，目前只能解决10-30%，还远未到大放异彩的时候。‍

 

他的表述令我们印象非常深刻，一方面，AI技术的应用目前还受到诸多条件的限制，比如要想用好AI或ML，就一定要有庞大的数据支持，而在这方面，很多打着AI+安全旗号的企业在数据方面远未达到应有的量级，那么其解决安全问题的能力可想而知；另一方面，我们也应看到，AI技术在目前应用中的一些局限性，尤其对于用户而言，如何通过AI技术或相关产品的引入来帮助自己解决网络安全问题，仍需要探讨。

 

那么AI和ML到底是不是好技术？答案当然是毋庸置疑，那么在目前这个阶段，如何利用好它来满足自身的安全建设需求呢？近期，Protiviti（甫瀚）的董事总经理Scott Laliberte在接受海外媒体采访时也针对AI和ML在网络安全项目中的应用发表了观点，他表示这些技术在网络安全中的应用是一个良好的方式，并对它们如何促进整体网络安全进行了阐述。

 

 

AI和ML被广泛的认为是有用的技术，在网络安全领域中也同样如此，可即便这样，它们仍然没有得到充分的利用，这其中是何缘由呢？

 

Scott Laliberte针对这一问题表示，这其中有部分原因是在于要为此做出的改变。要想应用AI、ML这样的新技术，组织就必须要改变现有的方法，还必须改变员工的一些习惯和心态，以便能够真正的接受它们。坦率地说，许多安全从业者从一开始对这些新技术还是有一些抵制心理的，这也不难理解，毕竟通过使用AI或ML引入新的漏洞和弱点，反倒会制造一些新的安全问题。

 

ML未能充分利用的原因相对而言较好解释，因为要是它真正的有效，就意味着组织必须能够访问大量且可靠的数据。可历史经验表明，缺乏可靠数据一直是困扰着安全团队的头疼问题之一。不过同时我们也能看到，在某些领域，如日志审查和SIEM（安全信息和事件管理），ML已经成功的部署应用。

 

许多安全问题错综复杂也是影响这些新技术应用的原因之一。比如，组织可以通过应用AI、ML分析日志数据以检测潜在问题，然后可以通过AI来做出阻止威胁的决定指令，但是这样做也可能会产生阻止一些合法流量或对一些错误目标执行操作的不良后果。考虑到在安全领域使用人工智能可以自动执行的许多操作都具有类似的高风险，因此组织对于使用AI来实现安全的目的会表现出犹豫不决的情形也是可以理解的。

 

再有一个比较严重的问题就是过度宣传，最终让用户、组织对其产生怀疑从而令问题变得更加复杂。比如部分企业在销售安全工具、产品时都声称在其间应用了AI和ML技术，但在实际应用过程中，这些功能经常不能够很好的工作，从而导致这些新技术在用户侧可能会产生反感进而变成抵制。

 

可以说，过度宣传这一问题不仅仅在国外有，在国内同样也有，这一点相信大家或多或少都有一些体会，在安全419过去一年采访的部分专家时，在提到AI时，或多或少的都会提出一些这方面的质疑，毕竟说的再好听，如果不能为用户创造价值，那最终不仅是搬起石头砸自己的脚，还会延滞这些新技术的后续的市场发展。

如何克服组织内成员对AI和ML的一些质疑和不信任？

 

尽管上面描述了很多AI和ML在网络安全中应用的一些阻力，但就像本文开始时描述的那样，它们还是很好的新技术，那么现在做些什么来支持这些新技术的使用呢？

 

在接受安全419的采访过程中，胡文友也表达了一个观点，那就是通过AI技术的应用，能够更多的将人的工作量降下来，让与安全相关的资源配置更优。毕竟无论是国内还是全球范围下，网络安全专业人才的缺口都十分庞大。

 

在Scott Laliberte的文章中，我们也看到了几乎相同的观点，他认为组织可以先将AI、ML应用到一些相对而言较低风险的场景中，以让安全人员有时间去应对更高复杂度的高风险任务，如识别异常活动和攻击。在这些领域取得可衡量的成功将帮助他们获得对这些关键技术的信心，而不会造成新的安全问题。

 

当今安全部门乃至企业在安全方面所面临的最大问题之一是缺乏资源，尤其是难以找到和聘用合格的专业人员。如果AI、ML和智能流程自动化可以帮助减轻组织的一些简单重复却又耗时的任务，那么安全资源就可以被释放出来，专注于价值更高的活动。随着组织越来越依赖技术，安全问题和需求只会越来越多。最终，安全团队将不得不利用人工智能和ML来维持组织的生存。

 

安全团队需要首先关注最能实现价值的地方，并向领导层清楚地展示这些价值。价值可以通过节省的时间、效率提升和流程提速来衡量，因此专注于一些活动，如在更短的时间内调配资源以及更快地响应事件，将很快产生切实的效果。

 

尽管降低风险也是安全一个极其重要的指标，但这通常更难量化。一旦组织看到了容易测量的任务带来的切实好处，就可以扩大AI和ML应用的规模，以开始解决价值量化更加困难和不清晰的领域。
 

 

 

纵观整个行业，我们已经看到了许多使用AI和ML的场景，它们在成本和流程效率方面产生了作用。一个很好的例子是，组织的SOC(安全操作中心)使用ML进行有关日志检查和事件识别的操作。ML可以监控这一过程，并指出事件和趋势。现在有几家专业公司的相关工具已经得到了在真实场景中的磨炼，在这一领域实现了更好的效率及效果。

 

我们还看到了流程自动化的成功，例如，帮助组织自动化GDPR的DSAR(数据主体访问请求)。这是通过利用ML来执行“分类”服务来实现的，方法是审查大量请求、查找客户、完成客户数据的初始标识，并创建供分析师审查的票据。该工具还能够识别无法分类的请求，并将其发送到队列以供分析师操作。自动化使处理速度提高了100%以上，从而减少了处理大量请求的资源。

 

在另一个例子中，我们看到一些组织与专业产品公司合作，这些公司使用AI/ML功能，通过搜索公司风险概况的变化、关于公司的负面消息或信用评级的变化来应对第三方风险。这些工具可帮助组织持续监控其众多第三方供应商，并将宝贵的资源集中在评估风险最大、需要关注的供应商上。

 

 

Scott Laliberte在最后表示：“我们预计AI/ML将在未来被广泛应用于高交易量地区的流程自动化。一个例子是围绕帐户管理和角色定义的身份和访问管理。”

 

他指出，目前能够看到使用NLP(自然语言处理)功能来审查第三方风险请求、检测响应以确定合适的处置方案、对方案进行匹配以及分配置信度分数的前景。这种提高的效率将使分析师能够专注于那些看起来越界的问题。另一个用例是，AI/ML可以通过击键、语音和独特的行为模式等行为来识别用户，从而减少对密码的需求。“我们还没有做到这一点，但可能在不太遥远的未来。”

 

通常，组织最初需要专注于流程自动化和优化，以减轻对有限资源的负担。与此同时，他们应该继续构建更复杂的模型，以识别异常行为和威胁，并最终对该活动做出相应的响应。