随着网络攻击越来越频繁和复杂,公司难以跟上。技术精湛的安全团队日夜工作,以发现和阻止数字入侵者,但这往往让人觉得是一场必败之战。黑客似乎总是占上风。
然而,隧道尽头还是有曙光的。新一波人工智能技术可能会让防御者重新占上风。通过使用自学程序作为数字盟友,安全分析师可以加强保护公司网络和设备的力度,而无需花费大量额外资源。
网络安全的一个分支是端点检测和响应 (EDR),人工智能在其中发挥着巨大作用。这本质上是一个针对攻击的预警系统,密切监视计算机、手机和其他端点,以发现正在酝酿的网络攻击的微妙特征。每当出现异常情况时,EDR 就会发出警报,以便人类专家进行调查。它甚至可以采取隔离受感染设备等基本措施来争取时间。
但是,人工智能驱动的 EDR 会完全取代并消除人工干预的需要吗?答案很简单,不会。正如我们在许多人工智能应用中看到的那样,最好的结果似乎是当人工智能和人类一起工作时,而不是一个人代替另一个人。让我们来解释一下为什么会这样。
人工智能驱动的 EDR 前景
EDR工具已成为识别、分析和补救大量设备中不断演变的攻击的重要武器。如今,许多领先的 EDR 平台都在利用人工智能来增强人类的能力,提高准确性和效率。
通过在大量威胁数据上训练的监督机器学习算法,由人工智能驱动的 EDR 可以:
- 发现前所未见的攻击模式和行为。通过分析系统事件并比较大量数据集,AI 可以检测到人类分析师可能错过的异常。这使您的团队能够识别并阻止其他工具无法发现的隐秘攻击。
- 通过自动调查提供背景信息。人工智能可以立即追溯事件的全部范围,扫描整个环境中是否存在危害迹象。这减少了分析师了解根本原因的繁重工作。
- 优先处理最关键的事件。并非所有警报都要求同等紧急程度,但辨别轻微和严重事件可能具有挑战性。人工智能评估可突出最危险的威胁,以吸引宝贵的人类注意力。
- 针对每次攻击推荐最佳响应。根据恶意软件种类、所利用的漏洞等具体情况,AI 会建议最佳遏制和补救措施,以精准地消除威胁。
人工智能增强技术可帮助分析师更聪明、更快速地完成威胁检测、调查和建议等繁重工作。然而,人类的专业知识和批判性思维对于连接各个点仍然至关重要。
人的因素:判断力、创造力、直觉
虽然人工智能擅长处理数据,但人类分析师为端点防御带来了机器所缺乏的关键优势。人类提供了三种关键能力:
平衡评估
人工智能有时会将无害事件标记为可疑事件,从而导致误报,或者可能会错过真正的威胁。但人类专家可以利用他们的经验和良好的判断力来评估人工智能的发现。例如,如果系统错误地将正常的软件更新标记为恶意软件,分析师可以检查并修复错误,避免不必要的中断。这种平衡的人类评估可以更准确地检测威胁。
创造性解决问题
攻击者不断修改恶意软件以战胜人工智能系统,而人工智能系统通常被调整来发现已知威胁。但人类分析师可以跳出固有思维模式,根据细微的异常识别新的或微妙的威胁。当黑客改变策略时,分析师可以根据代码中的微小异常提出创造性的新检测规则——机器很难发现的洞察力。
看清大局
保护复杂的网络意味着要考虑许多算法无法完全解释的变化因素。在复杂的攻击中,人类的判断对于做出高风险的决定至关重要——例如是否隔离系统或协商赎金。虽然人工智能可以提出选择,但仍需要人类的视角来指导响应并最大限度地减少业务影响。
人类洞察力和人工智能相结合,可以形成强大的防御,可以捕捉其他系统可能错过的高级网络攻击。人工智能处理数据速度快,而人类推理填补了空白。人类和人工智能共同努力,加强了端点保护。
优化人机安全团队
以下提示可帮助您通过以人为主导的团队充分利用 AI 增强型 EDR:
- 信任但要核实 AI 评估。利用 AI 检测快速确定事件范围,但在采取行动之前通过手动搜索验证发现。不要盲目相信每个警报。
- 使用人工智能来专注于人类的专业知识。让人工智能处理重复性任务,例如监控端点和收集威胁详细信息,以便分析师可以将精力投入到战略响应计划和主动追踪等更有价值的工作中。
- 提供反馈以随着时间的推移改进 AI 模型。将人工验证重新添加到系统中(确认真/假阳性),让算法自我纠正以变得更加准确。AI 随着时间的推移从人类智慧中学习。
- 每天与 AI 合作。分析师和 AI 合作得越多,双方学到的东西就越多,从而提高双方的技能和绩效。日常使用可以积累知识。
正如网络对手利用自动化和人工智能进行攻击一样,防御者必须利用人工智能武器库进行反击。由人工智能和人类智能共同驱动的终端安全是保护我们数字世界的最大希望。
当人类和机器联手,利用互补能力智胜任何对手时,我们共同取得的成就是无限的。网络安全的未来已经到来——这是人类与人工智能的合作。
采用 AI 增强型 EDR 的挑战
从理论上讲,将人工智能用于安全监控听起来很棒。但对于已经捉襟见肘的团队来说,在实践中,让它发挥作用可能会变得很麻烦。在推出这项先进技术时,人们面临着各种各样的障碍,从理解工具的思维方式到阻止
警报烧坏。
复杂性
每天使用 EDR 工具的安全分析师并非都是工程师。那么,期望他们直观地掌握置信区间、准确率、模型优化和其他机器学习思想?这要求太高了。如果没有简单的培训来揭开概念的神秘面纱,人工智能的花哨功能就永远不会用于抓捕坏人。
误报泛滥
尤其是在早期,一些人工智能工具在标记威胁方面做得有些过头了。突然之间,分析师开始每周淹没在数百条低可信度警报中——其中许多都是假警报。这让关键信号被淹没在噪音中。许多团队感到不堪重负,最终可能会完全忽略警报。这些工具需要进行优化和微调,以便在敏感度方面取得平衡。
黑匣子工具
神经网络就像一个无法破解的黑匣子。由于风险评分和建议背后的原理不透明,员工很难相信自动化系统能够做出决定。为了让人工智能赢得人类同事的信任,它必须让人类同事深入了解其原理——但目前的技术并不总是能做到这一点。
不仅仅是灵丹妙药
仅仅引入新的 AI 工具是不够的。为了充分利用这项技术,安全团队必须改进其流程、技能组合、政策、指标,甚至文化规范,以与之保持一致。在没有实际发展组织的情况下将 AI 作为交钥匙包部署,将永远锁住所有改变游戏规则的潜力。
最后的话
人工智能正在带来一系列令人兴奋的工具和防御措施来应对网络安全威胁。虽然这是个好消息,但其中大部分仍具有潜力,除非人工智能和人类团队能够和谐合作,发挥彼此的优势。EDR 是网络安全的一个领域,它特别依赖于机器智能和人类专业知识之间的顺畅合作。
当然,学习曲线是双向的。人工智能系统需要更好地向人类队友传达其内部逻辑,以他们能够直观理解并采取行动的透明方式。清理预警系统中的信噪比问题也有助于防止分析师疲劳和失神。
原创文章,作者:点点,如若转载,请注明出处:https://www.dian8dian.com/edr-zhong-de-ren-ji-he-zuo-li-yong-ren-gong-zhi-neng-zeng