隨著人工智能(AI)和機器學習(ML)能力的不斷發展引起人們越來越多的興趣，人們開始關注它們如何能提高IT安全性。供應商和客戶都在研究這些技術加強防御和抵御攻擊的方法。

從安全專業人員的角度來看，目前對于采用人工智能和機器學習的需求非常強烈。他們正在尋求使威脅檢測和標記惡意行為實現自動化的方法。替代人工方法將騰出時間和資源來專注于其他任務。

當前許多安全監控工具生成的大量警報或誤報使這一挑戰更加嚴重。而企業團隊致力于進行安全分析，或者發現他們根本無法在這些警報中識別正在出現的威脅。

人工智能和機器學習的力量

人工智能和機器學習可以在這里交付真正的價值。當涉及到識別和預測某些類型的模式時，機器學習提供了比人類更好的能力。這些新工具還可以超越基于規則的方法，這些方法需要已知模式的知識。與其相反，他們可以學習IT基礎設施中的典型活動模式，并發現可能標記攻擊的異常偏差。

但是，盡管人工智能和機器學習等現代工具可以支持首席信息安全官的網絡支持基礎設施，但組織仍然需要一些人員的參與才能做出響應并從事件中恢復。例如，這些人確定問題是否為誤報，與受影響的團隊進行溝通，以及與其他組織協調行動等。

確實，當今的安全產品不能完全使安全運營中心(SOC)完全實現自動化，也無法完全消除對安全分析師、事件響應者和其他安全運營中心(SOC)工作人員的需求，但是技術可以簡化和自動化某些流程以減少對人員響應者的需求。

機器學習技術提供了多種改善組織基礎設施安全性的方法。這些包括：

?威脅預測和檢測，其中評估異常活動以識別新出現的威脅。

?風險管理，其中包括監視和分析用戶活動，資產內容和配置，網絡連接以及其他資產屬性。

?通過使用有關組織資產的知識以及可能存在弱點的信息，對漏洞信息進行優先級排序。

?威脅情報管理，通過該情報審查威脅情報源中的信息以提高質量。

?安全事件和事件調查與響應，其中涉及查看和分析事件的信息，以便確定下一步措施，并組織最適當的響應。

人工智能和用戶和實體行為分析(UEBA)

這些新興技術可以協助安全團隊的另一個領域是用戶和實體行為分析(UEBA)。基于用戶和實體的威脅日益受到關注，因此需要新的方法。

根據Verizon公司最近發布的數據泄露事件報告，確認的數據泄露事件中有63%涉及網絡攻擊者通過使用被盜的訪問憑據冒充合法用戶，或惡意利用合法用戶的訪問權限。

但是，要檢測內部威脅，安全工具必須首先能夠理解用戶行為并為其設定基準，而這正是機器學習可以提供真正價值的地方。通過建立基線行為和模式，然后通過組合統計模型、機器學習算法和規則來檢測異常，用戶和實體行為分析(UEBA)解決方案可以將傳入事務與現有基線配置文件進行比較。可以標記潛在威脅，以供進一步檢查和采取措施。

人工智能可以協助用戶和實體行為分析(UEBA)的特定領域包括：

?帳戶泄露：由人工智能驅動的工具可以檢測黑客是否訪問了網絡用戶的憑據，而無論所使用的攻擊媒介或惡意軟件如何。

?內部威脅：通過建立基準用戶行為，這些工具將能夠檢測并標記超出該基準的異常和高風險活動。

?特權帳戶濫用：由人工智能協助的用戶和實體行為分析(UEBA)解決方案將通過檢測泄露的憑據和向包含此特權數據的系統的橫向移動，來識別對有權訪問敏感信息的特權用戶的特定攻擊。

不斷改進IT安全性

人工智能和機器學習技術共同為安全團隊提供了很多東西，以尋找更好的方法來防范和應對網絡安全威脅。

但是，為了實現該技術必須提供的所有功能，安全團隊將需要牢記必須采取的一些關鍵步驟。這些包括：

?提供基于機器學習的工具，可以實時訪問大量高質量、豐富的結構化數據，這些數據顯示了整個組織中與安全相關的所有事件。

?向工具提供必要場景信息，以了解每個觀察到的活動和檢測到的異常含義和重要性。

?使用大量高質量的培訓數據進行監督學習，以教育哪些工具有益于活動，哪些不利于活動。

人工智能和機器學習支持的工具部署和管理得當，將為安全團隊提供重要的支持和幫助。他們將檢測隱藏的威脅并最大程度地減少誤報，加快事件響應速度，簡化安全運營中心(SOC)的運行，從而降低成本并提高效率。

人工智能和機器學習的發展才剛剛開始，其功能在未來幾年將繼續加快發展。人們值得花費時間了解該技術的功能以及它如何為組織增加價值。