在数字化转型的浪潮中,人工智能(AI)正以前所未有的速度重塑着网络安全的格局。近日,德勤美国网络现代化负责人Mark Nicholson在接受Unite.AI的专访时,深入探讨了AI在网络防御与攻击领域的双重影响,以及企业如何构建适应AI时代的安全架构。拥有超过20年网络安全、AI和企业风险管理交叉领域经验的Nicholson,不仅领导着德勤的网络AI计划,还负责该公司网络业务的商业战略,帮助大型企业实现安全框架现代化。
从早期手动分析防火墙日志到如今的AI驱动防御平台,网络安全技术的演进堪称一场革命。Nicholson回忆道,在SIEM(安全信息和事件管理系统)发展初期,分析师每天早上要打印出防火墙日志,手动排查异常。即便SIEM技术逐渐成熟,人类处理数据的速度仍远远跟不上事件爆发的规模。AI的出现从根本上改变了这一局面,它不仅能自动化一级安全操作,还能通过动态调整监控算法,将威胁检测和响应从“事后”推向“实时”。然而,随着系统自主性和复杂性的提升,信任与可观测性成为新的挑战:系统在做什么?为什么这么做?如何确保它未被操纵?这些问题成为了网络安全团队必须攻克的新堡垒。
AI在赋能防御者的同时,也为攻击者提供了强大的工具。Nicholson指出,AI几乎消除了漏洞发现与利用之间的时间差。过去,除非遭遇零日漏洞,企业通常有几周时间来理解威胁、打补丁并进行缓解。但现在,借助AI自动化侦察、漏洞扫描和 exploit 开发,这个周期可能被压缩到数小时,甚至更短。这意味着安全团队必须同样采用AI和自动化技术,结合强有力的控制措施,才能跟上攻击者的步伐。
随着AI技术的普及,安全运营中心(SOC)的运作模式正从“人在回路中”向“人在回路上”转变。在传统SOC中,分析师是每个决策点的核心,负责分类警报、调查事件并确定应对措施。而在AI驱动的现代SOC中,AI系统承担了大部分常规任务,如警报分类、上下文收集、数据关联和初步响应。人类分析师的角色则转变为监督者和验证者,将更多时间投入到威胁狩猎、检测工程、对手模拟和防御架构优化等高价值工作中。这种转变不仅提升了运营效率,也要求企业重新思考分析师的角色定位,将他们从繁琐的手动任务中解放出来,专注于战略层面的工作。
“设计安全AI”(Secure AI by Design)的理念正逐渐成为行业共识,但Nicholson强调,这一概念不应仅局限于模型安全,还需延伸到身份系统、权限架构和编排层。AI系统并非孤立存在,它们作为企业数字生态系统的一部分,需要访问数据、与API交互、触发工作流,并通过自主代理执行操作。这些AI代理相当于企业内部的新数字身份,如果管理不当,会显著扩大攻击面。因此,企业需要像管理人类用户一样管理AI代理,为其定义明确的权限、审计和监督机制。
许多企业在将AI工具集成到现有安全工作流时,往往采用“ bolt-on”(附加)的方式,将AI叠加在为人类操作设计的 legacy 流程之上。Nicholson认为,这作为第一步是可行的,例如德勤开发的AI代理可以在不替换现有专用软件的情况下,自动化身份治理和管理流程,从而实现显著的成本节约。但从长远来看,企业需要从端到端重新设计安全工作流:现代化数据基础,确保安全工具能够可靠地访问高质量、结构化的遥测数据;构建编排系统,使检测、响应和身份功能作为一个协调的系统运行,而非孤立的工具。
随着AI系统自主性的增强,攻击面也扩展到了代理编排、API链和自动化决策管道等领域。Nicholson最担忧的是代理驱动系统中的身份和数据访问权限问题。企业引入的AI代理可能拥有访问强大数据、API和工作流的权限,如果权限设计、监控和审计不严格,它们将成为攻击者的首选目标。因此,必须像对待新员工一样对待每个AI代理:为其命名、定义范围、进行监控,并在必要时迅速断开连接。
从董事会的角度来看,高管和董事们越来越意识到AI带来的机遇与风险并存。大多数董事理解AI将推动业务转型,并开始关注治理、安全和韧性问题。然而,他们对AI驱动威胁的演变速度和复杂性的认识仍存在差距。许多董事会讨论仍局限于传统的网络框架,未能充分反映AI时代威胁的快速变化。此外,“我们的AI安全吗?”这个问题看似简单,实则涉及数据治理、模型完整性、身份管理和多系统编排等多个层面。Nicholson建议,董事会应推动基于控制的报告,使这些复杂的组成部分变得可见且可测试,并投入时间提升董事们的技术素养,以确保监督工作跟上技术发展的步伐。
在帮助企业整合AI到网络安全战略的过程中,Nicholson发现了一些常见误区。首先,将AI视为独立工具而非架构转变,导致团队在未升级数据基础、治理模型或运营流程的情况下进行孤立实验,最终效果停滞不前。其次,部署AI功能时未充分考虑新风险,如新增身份、数据流和自动化决策路径扩大了攻击面,若缺乏适当控制,AI反而会增加系统脆弱性。最后,许多企业低估了员工参与的重要性,安全运营团队的一线人员最了解工作中的痛点和需求,成功的转型应尽早让这些团队参与进来,使技术成为他们判断的放大器而非干扰因素。
展望未来3-5年,AI原生安全运营中心将与今天的SOC环境大不相同。未来的SOC将是人类与数字劳动力的混合体,AI系统处理大部分数据处理、关联和初始响应活动,代理系统则自动化漏洞管理、身份治理、事件响应和持续控制监控等工作流。人类分析师的重心将转向监督AI系统、验证检测用例、调查复杂威胁和优化防御架构。Nicholson强调,目标并非取代人类,而是提升他们的角色,让分析师从繁琐的警报分类和数据收集工作中解脱出来,专注于网络安全的战略层面。同时,他也提出了一个值得思考的问题:当一级和二级安全操作完全自动化后,如何培养下一代安全专业人员?或许答案在于AI驱动的模拟和培训技术的巨大进步。
总之,AI时代的网络安全是一场攻防双方的军备竞赛。企业若想在这场竞赛中胜出,就必须拥抱AI技术,构建AI原生的安全架构,同时加强治理和控制,充分发挥人类与AI的协同作用。只有这样,才能在快速演变的威胁环境中保持领先地位。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/ai-qu-dong-cybersecurity-xin-fan-shi-de-qin-zhuan-jia-jie
