儘管我們一直在談論AI在安全行業中的應用,尤其是AI能夠解決安全技能短缺的問題,但是實際上,AI在安全行業還有很長的路要走——甚至絕大多數我們當下認爲AI在安全行業中的應用並不是真正的“人工智能”。
根據Capgemini的調查,80%的公司期望通過AI識別威脅並阻止攻擊。但是,事實上,極少有人能夠理解到AI之於安全的真正價值,或者AI技術能夠有效地解決安全當中的各種問題。
有些人認爲AI的濫用更多的是爲了迎合市場————尤其是AI這個詞本身就很有誤導性:“人工智能”看上去就像一個能真的產生一種智能來解決各種問題的技術。然而,在現實中,大部分案例都是通過特定的機器學習算法去執行一個專門的任務。
部分安全產品中的算法最多隻能被稱爲弱AI。這些算法只能在海量的數據訓練後,在某一領域執行相當特定的任務。這和一個真正的AI相差甚遠。一個真正的AI應該是能夠執行廣泛類型的任務,並且能夠在多種領域解決問題。而這種解決方案距離市場化還有很長的路要走。
如果一個技術只能做某項特定的工作,那顯然無法取代你團隊中的人員。因此,任何認爲AI能夠解決網絡安全技能短缺問題的人顯然都想太多了。相反,這些解決方案只會讓安全團隊需要消耗更多的時間——這反而是很多時候被忽視的真相。
以異常行爲檢測舉例,安全運營中心的分析師們確實很需要發現網絡中的各種問題,而機器學習可以很好地解決這個問題。然而,如果一個算法發現了過多的問題就看上去不那麼美好了。所有的機器學習算法都會有一定的誤報率,因此,安全團隊依然需要人類去分析這些結果,而誤報的問題越多,就有更多的安全事件需要去評估。
對任何熟悉機器學習的人而言,這不是什麼特別驚訝的結構;但對一些想使用這類解決方案的團隊而言,這卻未必是一個常識,從而會導致認爲機器學習能給他們節省時間的不恰當期望。
上述例子雖然是機器學習直接幫助安全團隊,但機器學習同樣能間接地幫助安全團隊避免做一些可能會引起風險的錯誤。這是一個很有意思的思路,因爲比起識別和緩解安全事件,這種方式可以減少引發安全事件的可能性。這樣不僅可以解決當下最明顯的問題,還能從長遠來看帶來可觀的結果。
另一個機器學習容易被忽略的問題是數據。任何的機器學習算法都必須有數據進行學習才能使用,而學習所需的時間可能遠遠久於期望長度,因此安全團隊需要將這個因素放入考量。另一方面,在某些情況下最理想標籤化數據,在安全領域裏相當短缺。這又需要人類對安全事件進行識別,並訓練算法。
機器學習確實能幫助安全團隊完成很多任務——但是前提條件是有足夠的數據和專家。比起泛泛而談“AI可以解決技能短缺問題”,我們更應該從提升效率和支援人類現有工作的角度思考AI。
那麼,CISO該如何在機器學習的大潮下使用這個技術,而不被一些誇大其詞所忽悠?那需要非常嚴格的思考和分析:考慮使用機器學習後需要實現怎樣具體的影響,在整個安全流程中又在哪個位置?目的是發現更多異常情況,還是防止用戶或者應用發生錯誤?
不同的答案會造成不同的解決方案。CISO必須完全瞭解不同機器學習算法中的利弊並進行權衡,同時知道自身的情況:需要解決哪些問題?有哪些高質量的數據從而保證機器學習能建立最優的模型?組織可以通過收集安全數據、分析自身能力以及安全團隊的技能組開展行動。可能在未來,組織和機構還會需要一些安全中小企業對機器學習的結果進行解讀。