在当今的数字化时代,网络安全问题日益严峻,而大多数安全漏洞皆源于人为错误。无论是内部威胁、凭证误用,还是人为失误,都令安全专家倍感头痛。即便是最严谨、最有经验的安全专业人员,也可能在易出错的手动安全流程中疏漏某个步骤。再加上IT专业人员所面临的重重压力,包括迅速解决问题以将损害降至最低的时间紧迫性、组织内部的压力,以及日益复杂的威胁,这种风险更是成倍增加。
Elastic安全产品副总裁Mike Nichols表示,人为错误带来的挑战并不令人意外。他说道:“IT专业人员始终不得不在多个任务和工具间进行复杂切换,他们被系统发出的海量警报淹没,疲于追查数据和应对紧急情况。不仅如此,IT领导者还发现自己深陷于处理网络安全漏洞的泥潭,而非在源头追踪并阻止这些问题。我们雇用的是侦探,结果他们却成了巡警。”
Nichols认为,解决之道在于将自动化和人工智能交到IT领导者和团队手中。这样做可以提升并加速他们的表现——使分析师能够立即获取所需信息,帮助他们尽早发现潜在挑战,并自动化数据筛选和发现过程的部分环节。然而,虽然人工智能支持这项工作,但它并不能取代分析师在做出业务和任务导向决策时的批判性思维和专业知识。
人工智能如何增强人类的安全专长
当安全领域首次出现规范性人工智能时,机器学习算法能够识别可疑模式并发出警报,这带来了显著变化。但对手能够绕过基于签名的规则,而误报更是成为许多IT团队的噩梦。与当今的安全解决方案相比,生成式人工智能具有更大的潜力——只要它被战略性地部署,而不仅仅是作为一个光鲜的新玩意儿。它最好直接嵌入到工作流程中,以减轻作为人为错误根源的情境切换问题。在选择解决方案时,关键问题是它是否会加速用户流程、人工智能是否展示其工作过程、其输出是否可靠,以及它是否有助于提高分析师对企业安全问题的理解。
Nichols说道:“我们发现,当人工智能作为IT用户身边的专家时,实施效果最好,这样他们就能迅速提出问题,并即时获取信息和数据。‘它对于确定优先级和发现问题也至关重要,解决了警报过多的问题,因为它能够对工单进行排序,过滤掉误报或较小的问题,并将最严重的问题放到首要位置。’”
这是一种有助于建立观察、定向、决策和行动(OODA)循环决策方法的设置。在这种循环方法中,可用信息被过滤,然后放入上下文中,以便决策者能在那一刻做出明智的选择,同时保持灵活性,准备在获得更多数据时做出调整。
一旦专家分析师发现问题并记录下来或解决了它,人工智能自动化就可以将该学习成果纳入整体安全运营中,使其他分析师能够轻松获取,从而更轻松地解决问题,避免工作重复。借助检索增强的生成,可以将私有上下文添加到训练有素的公共模型中,以便为任何分析师查询提供定制答案。如果组织数据通常不是操作化的,比如来自IT服务管理(ITSM)解决方案的工单信息,或防火墙、变更日志等系统的配置数据,这一点尤其正确。
这也创造了一个自然的学习环境。当一级分析师加入团队时,他们可以使用人工智能助手作为教练,用自然语言提问,以便在工作中学习。这是一种更加自然、易于使用的方式来接收并真正吸收关键信息。这种对话式学习环境有助于员工保持投入,尤其是在远程工作环境中,并为新员工提供了一种从二级和三级经验中学习成长的方式。
将安全打造为全企业范围的活动
Nichols指出:“安全最终落在IT部门是一种局限,因为其他部门有很多优秀的分析型思考者。”在企业内部,你会发现很多具有出色分析能力的人,他们真正能看到并理解数据中的模式,并能解决物流难题。他们可能不了解日志、端口或服务器,但他们无需了解这些。”
事实上,人工智能使安全成为了一项业务或任务问题,减轻了安全团队的压力。企业可以引入更多了解安全困境业务背景的人员,了解它们如何影响更广泛的组织战略以及员工的日常工作流程——而生成式人工智能工具为他们提供了实时洞察所需系统的能力。
他补充道:“当你引入不在典型IT或安全套件中的外部影响时,你会发现一些惊人的经验教训和改进自身流程的方法。人工智能只是帮助加速这一过程的一种方式,通过扩展你对安全分析师实际所需内容的认知范围。不是勾选认证,而是那些了解底层系统对企业意味着什么的人,以及在制定安全策略、实施流程和缓解风险时能够做出关键业务决策的人。”
人工智能采用仍面临挑战
尽管人工智能已经证明了其好处,但组织的采用率仍然滞后。造成这一状况的主要因素大多归咎于对潜在风险的犹豫,以及从传统的安全信息和事件管理(SIEM)解决方案迁移到基于人工智能的安全分析平台的成本和复杂性。
迁移计划的第一阶段需要收集和规范化数据,从预构建的数据集成开始。通常需要接下来使用需要自定义连接器的技术,但构建每个此类集成的手动性质可能会显著减缓新SIEM的采用。
Nichols表示:“转换的成本始终是一个巨大的挑战。这不是产品成本。在这方面,产品成本几乎可以忽略不计。转换的成本在于所有的战术、技术、程序(TTPs),所有的规则,所有的查询,它们都需要转移到另一个系统,而我们没有一种通用的语言来简化这些事情。”
Elastic开发了一种方法来加速这一过程,即通过生成式人工智能自动化SIEM数据迁移。自动导入功能利用生成式人工智能自动开发自定义数据集成,将创建和验证自定义集成所需的时间从数天缩短到不到10分钟,并大大降低了数据迁移的学习曲线。
该功能由Elastic Search AI平台提供支持,该平台提供模型不可知论的访问权限,以利用大型语言模型(LLM)的知识,并使用检索增强生成(RAG)在专有数据中提供基于事实的答案。整个操作过程从始至终完全透明,并提供可视化报告,突出显示每个成功的一对一迁移、潜在的冲突领域以及需要为新的安全解决方案范式重新配置的区域。
Nichols说道:“这关乎实时的信任。而不是承包商向你展示一份声称所有方面都亮绿灯的PDF文件,你能够深入了解迁移过程中到底发生了什么,因此,当你切换时,你知道你的防护完全到位。”
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/li-yong-ren-gong-zhi-neng-bi-mian-wang-luo-an-quan-ze-ren
