人工智慧是安全的最佳防線

安全頻道發表於2021-03-31

隨著2021年的到來,我們已經習慣了新的工作方式和新的工作環境。許多人可能還採用居家辦公的方式工作,採用數字通訊方法進行專案協作和討論。我們的僱主已經開發出敏捷的方法,為員工配備合適的工具,以便有效和靈活地工作,遠端工作已成為業務預算和員工招聘決定的長期考慮因素。

這種轉變不太可能改變。我們可能會在2021年回到辦公室,但不會回到標準的5天工作周。報告顯示,許多組織正在計劃採用混合方式,給員工更多選擇。遠端工作在這裡是永恆的,隨之而來的是,安全和安全獲得了更大的意義。

這種變化的一個影響是安全運營中心(SOC)處理的警報的可視性和數量。以前該團隊處理的是辦公地點內的資料中心,這意味著威脅的藏身之處有限。現在隨著遠端辦公,無人管理的個人裝置--包括家庭物聯網和家庭電腦--有數千種選擇可以隱藏起來。以前在企業網路上可見的威脅已經變得無所遁形,它們躲在家庭網路中,伺機發動攻擊。

自動化幫助解決警報過載和疲勞問題

自動化、人工智慧和機器學習應該是任何現代SOC的雷達。假設網路犯罪分子已經在利用這些技術在這個廣泛的新表面發起有效的攻擊。在這種情況下,安全分析師也應該利用這些相同的技術來幫助保護他們的組織,並保證資料和使用者的安全。

安全分析師每天都會收到成千上萬的警報,現在有這麼多的遠端工作人員,這些警報可能來自成千上萬的地點。許多人會是良性的,但團隊必須保持完整的可見性,以防錯過嚴重的威脅。這項工作是重複性的,可能會導致分析師疲勞或錯誤。以下是自動化可以提供幫助的方法。

• 對警報進行分析和標記。如果資料是 "好的 "或 "壞的",現有的規則會應用自動化操作來允許或拒絕資訊。對於任何其他警報,資料被標記為 "未知",並報告給分析師進行進一步分析,這意味著團隊現在正在處理更多的有效警報和更少的誤報。

• 當警報被標記為不良時,必須快速啟用並應用幾個動作。這些行動可能包括刪除電子郵件中的附件,隔離裝置,甚至關閉部分網路進行補救。安全自動化規則可以用來執行這些行動,可以完全自動化,也可以由分析人員點選按鈕。

因此,從幾個例子可以看出,自動化如何幫助現代SOC早期檢測和補救威脅,以及減少安全團隊的工作量。然而,人工智慧和機器學習呢?直到最近,這些都是流行語,但當適當地應用到環境中時,這些技術成為分析的關鍵推動力,有助於提高團隊效率,並使網路安全快速、一致和準確。

使用人工智慧將資料轉化為智慧

人工智慧將處理數以百萬計的威脅資料的輸出與現有的環境資訊相結合,包括網路資訊、進入載體、使用的協議,甚至進行雲分析,以瞭解威脅是新的還是以前在其他環境中看到的。這些資料為安全工程師提供了有價值的背景資訊,而以前這些資訊需要人工努力和時間來提取。檢測時間縮短,因為人工智慧會比人類更快地看到網路中的變化,收集相關資料並向團隊提供積極的警報。響應時間得到改善,因為工程師不必從深入分析發生的事情開始。他們立即與可操作的資料一起工作,並使用這些資料來建立補救計劃。

透過機器學習瞭解網路,提高團隊效率

將機器學習(ML)與人工智慧結合使用,意味著可以對工具進行訓練,以便更好地處理資料,ML系統將能夠提出改進建議。ML可以評估在網路上看到的行為,發現可能超出正常模式的行為,並向團隊提出建議提醒,並在問題成為威脅之前捕捉到問題,這些問題可能包括異常的網路埠使用、DNS操縱或潛在的流量風暴。這不僅提高了安全團隊的效率,而且ML將利用資料逐步增加情報,成為一種更有效的技術,使之成為網路安全的雙贏!

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31545812/viewspace-2765998/,如需轉載,請註明出處,否則將追究法律責任。

相關文章