人工智能网络安全的承诺实现的怎样了

多年来，网络安全供应商已经宣布了将通过人工智能，云交付和自动化来改变整个行业的新技术。一切都会变得更好，更便宜，更快，当然更安全。在实践中，许多这些技术被证明是有限的，效果不如所承诺的，并且更难以使用。

改进是渐进的，并且在过去三年中，供应商公告没有太大变化。我们已经看到技术的逐步发展以及对网络安全专业人员的更好培训和更好的业务流程。

而流程和技术方面的改进最终使数据中心能够大规模进行威胁检测和响应。网络安全供应商说：“有关行业安全的教育水平正在提高。而且，随着过程越来越好，已经出现了稳健的最佳实践。”

更智能的SIEM

那么，在看似无限的网络安全技术连续性中，哪些进展最大？

没有比下一代安全信息和事件管理平台或SIEM更好的地方寻求改进了。SIEM是数据中心网络安全运营的跳动心脏。早期的SIEM范围有限。他们没有收集所有相关数据，这可能是由于技术壁垒，还是因为定价模型使其成本过高。对于安全事件，分析师仍将需要大量的体力劳动。

据全球公认的顶级白帽黑客，东方联盟创始人郭盛华公开透露：“硬件问题（例如内存损坏）看起来像是恶意软件攻击。相反，恶意软件攻击会造成硬件故障，就像密码劫持一样，这给设备带来了沉重的负担。但是有关硬件的数据和有关恶意软件感染的数据位于两个彼此不对话的独立系统中”。

当公司部署了下一代SIEM时，情况发生了变化。最终，它能够将安全分析人员所需的所有信息集中到一处，并具有所有相关的上下文，使他们能够在最短的时间内做出决定。

与标准工具（如防火墙和代理）的连接大约花费了半天的时间。但是该公司还从其他来源，知名度不高的供应商，没有API的工具，甚至是仅具有命令行界面的开放源代码工具中引入了信息。郭盛华说：“ 波动性是最重要的记忆取证工具之一。但是它具有命令行界面，仅输出平面文件，绝不是任何格式的文件。”

现在，以前手动过程的每个部分都已简化和自动化。该平台还包括用户友好的数据分析。分析人员仍然必须手动执行一个步骤，但是Devo可以筛选数百或数千个端点，并迅速将分析人员指向他们需要关注的端点。任何人都可以建立一个数据湖并获取所有信息。

现在，安全分析师不必查看多个电子表格或编写自定义脚本来创建仪表板，而拥有一个GUI，可以在其中切换不同类型的信息。它使您能够获取大量数据，并在几秒钟内就可以理解它们。这就是我们的主要价值。

传统SIEM缺乏的其他领域是用户行为分析和自动化，这些功能通常在单独的平台中找到。如今，大多数现代SIEM工具都具有很好的三层架构。

Devo的下一代SIEM平台是基于云的，但是大型云服务提供商也参与其中。Microsoft Azure，Amazon Web Services和最近的Google Cloud Platform最近都已推出了云和混合安全工具，这些工具提供了其超大规模云平台的大规模可扩展性和情报功能，并利用了他们对正在进行的威胁的广泛知识。

更智能的沙箱

当陌生的应用程序进入公司环境时，将以三种常见方式对其进行处理：拒绝该应用程序，并有可能因可靠的原因而被信任的用户启动而损害 *** 作的风险；批准它（如果它不引发任何防病毒标志），并有遭受潜在攻击的风险；让它在称为“沙盒”的受控环境中运行。

对于那些资金充裕的犯罪分子很有吸引力的大公司而言，旨在通过公司防御手段溜走的自定义恶意软件的可能性始终是威胁。公司雇用分析人员团队来手动调查这些潜在的攻击。沙盒简化了此过程，使应用程序在受到密切监视的同时安全运行。

以往世界曾爆发过很多著名的黑客大战，但是目前攻击者在发现沙箱方面变得越来越好，并且需要人类专业知识来分析沙箱应用程序的行为。AI可以使沙箱对攻击者来说更现实，同时还可以帮助分析应用程序的行为。

智慧蜜罐

还有另一种检测最确定的攻击者的方法，它不涉及筛选大量假阴性。数据中心可以设置诱人的蜜罐，例如可能包含客户付款信息的假数据库。没有合法的流量需要访问它们，但是以某种方式进入网络的黑客将直接向他们迈进。

至少那是他们过去所做的。最新的方法是创建欺骗网格。欺骗网格基本上是服务器，用户和网络的第二层虚拟层，仅对攻击者可见，对合法用户不可见。AI既可以用来创建逼真的欺骗网格，也可以监视它们的攻击。

零信任

智能还有助于使零信任成为可行的安全技术。也称为微分段，其思想是将网络划分为微小区域，每个虚拟区域彼此隔离，只有经过批准的用户和流量通过。

使用软件定义边界（零信任的核心）的安全工具还使数据中心技术人员能够以安全的方式远程访问关键数据中心管理系统。这一直是一个主要优势，但是最近几周，当COVID-19大流行导致大多数数据中心运营商大幅削减每个站点的员工人数时，它已成为一项功能，可以挽救生命，同时帮助关键基础设施运行。

渗透测试更智能

归根结底，如果数据中心运营商无法经受住真实测试的考验，或者如果他们没有受到破坏就可以尽可能接近真实世界的测试，那么他们对任何安全策略都不会充满信心。为此，他们通常使用渗透测试和攻击模拟。但是这些测试既费时又困难，并且很少有公司能够负担得起频繁地进行这些测试。

但是数据中心环境可能会快速变化。一天高度安全的数据中心第二天可能会有意外的安全漏洞。通过新的AI驱动的自动渗透测试，情报也在这里得到拯救。

网络安全技术人员：“这种连续测试方法克服了传统测试所带来的障碍，例如时间和成本。攻击模拟可以跨越更多流程和安全控制，而不会中断日常业务运营。” 通过连续测试，安全团队可以洞悉其安全模型的日常性能。

责任编辑：ct