■ 河南 崔贤

安全管理对于企业来说是一项日益复杂的任务。随着网络规模的迅速扩展，许多企业组织发现它们在网络中的可见性已大大降低。

企业采购不同的供应商产品致使形成孤立的安全工具及孤立的网络开发和安全项目，这意味着需要更多的管理控制中心来进行追踪数据，而更多的数据得不到关联或关联得不够迅速，导致企业无法及时检测出快速变化的威胁。

借助机器学习（ML）和人工智能（AI）填补技能短板

还有一个问题是安全技能的差距。如今寻找具有一般安全技能的人员都变得越来越困难，更不要说具有专门技能的人员（例如安全分析师了。但是，如果没有足够的技术人员来分析不断增长的数据量，威胁信息很可能就会被遗漏，或者被发现的太迟而没有时间采取有效的防护措施。

企业通常使用ML和AI来执行那些大量且繁重的任务，例如关联日志文件或执行设备补丁和更新。但这只是其表面上的能力。然而，机器学习和人工智能也可以通过降低不断扩展的安全基础架构的复杂性和成本，来帮助企业填补网络安全人员和技能上的不足。它们非常适合面向数据的任务，例如日志文件的关联和分析以及不断增加的安全设备和网络设备所产生的威胁警报。

机器学习的关键作用

通过机器学习获得增强的系统，完全有能力执行更高级别的任务，例如评估新文件、网站和网络基础架构，以自动识别恶意软件和其他恶意利用行为。它甚至还可以检测到某些未知攻击，这些攻击很可能在威胁情报更新之前对企业网络构成威胁。它还可以生成相关的威胁情报，以使企业能够更准确地自动预测和防范网络威胁。

机器学习还可以检测可能具有已知漏洞的设备，甚至可以安排这些设备进行修补和升级、监视或替换。

随着网络中易受攻击的IoT设备数量的不断增加，这一能力尤其重要。因为许多企业根本就没有合适的系统来识别和保护这些潜在的攻击点，而基于机器学习的系统可以帮助企业应对针对IoT的潜在威胁。

基于AI的安全运营能力

同样，某些AI系统现在能够聚合和分析来源于企业IT和安全基础架构中数百个设备的大量数据，以检测隐藏的威胁，这些隐藏的威胁即使是最好的数据分析人员也难以发现。它还可以通过整个网络资源的编排来协调响应，以提高安全运营的效率。

AI还可以利用机器学习系统生成的样本来提高其数据分析的准确性和效率。通过将威胁模型和实践与实时网络流量相关联，AI系统就能够检测到威胁并在其实施攻击之前进行阻断。随着时间的推移，该过程将变得越来越高效，从而使企业比网络攻击者更具优势。

人工智能的突破性进展使自动化防御、检测和响应威胁实现了人工手段和孤立的管理平台从未达到过的准确性和速度。通过在安全平台上部署AI技术，企业不仅可以在所有设备、用户、端点和环境中实现全面的可见性和安全防护，而且集中的AI驱动的安全运营还可以在该安全架构上收集、关联和通信，以确保更快速和更全面的响应和补救。

这为企业提供了前所未有的能力来管理其庞大且不断增长的安全设备，以及查看和保护分布在网络系统、接入点、移动网络及物联网设备（无论是物理的还是虚拟的）中的数据、应用程序和工作流。

AI使网络攻击者与用户之间的攻守之势发生转变

通过与SOC环境集成在一起，融入AI的网络安全系统可以增强安全研究人员、安全分析人员以及事件响应人员等团队的能力。这可以使企业及早发现威胁并更快地响应漏洞利用，从而降低安全事件的风险和潜在影响，同时提高安全运营的整体效率和价值。

总之，通过将先进的AI技术深入到分布式网络和安全基础架构中，企业可以显著增强其检测和响应威胁的能力，实时调整安全策略，以保持动态网络变化，并在整个网络范围内扩展可见性和控制力。

反过来，这又扩大并加速了安全研究人员和数据分析人员的服务能力，使他们能够专注于监督安全操作，而不是试图关联和处理不断增长的威胁情报。通过将机器学习和AI与专业网络安全专家团队相结合，以实现真正的由AI驱动的安全运营，企业就可以领先于网络攻击者的步伐，确保企业可以更一致且更有效地应对攻击。