分析師、用戶和廠商眼中的AI威脅檢測(cè)
責(zé)編:gltian |2019-01-29 14:20:08在軟件公司Darktrace首席執(zhí)行官 Nicole Eagan 看來,10個(gè)網(wǎng)絡(luò)安全專家里有8個(gè)不會(huì)將人工智能(AI)作為威脅檢測(cè)關(guān)鍵部件。剩下2個(gè)不是“完全拒絕”就是最多“嘗試一下”,反正不會(huì)花精力充分開發(fā)這項(xiàng)技術(shù)。
誠(chéng)然,信息安全專家都是傾向于規(guī)避風(fēng)險(xiǎn)的,也就造成了他們有時(shí)候會(huì)不愿嘗試新技術(shù),而且理由非常充分:幫公司抵御風(fēng)險(xiǎn)才是他們的首要任務(wù)。但是,理論上而言,AI是有潛力幫安全團(tuán)隊(duì)更快發(fā)現(xiàn)大量問題的。于是,到底是為什么,不是每個(gè)安全團(tuán)隊(duì)都愿意使用AI呢?
研究公司KuppingerCole高級(jí)分析師 Mike Small 認(rèn)為,其實(shí)很多公司都在用AI檢測(cè)威脅,只是他們可能沒覺得那是AI。相比傳統(tǒng)殺毒軟件,Darktrace及其競(jìng)爭(zhēng)者,比如Senseon和SecBI,是在更高層次上執(zhí)行威脅檢測(cè)。某種程度上講,它們做的事不是全然的創(chuàng)新。威脅檢測(cè)AI的核心是行為分析的高級(jí)形式,本質(zhì)上還是查找模式以識(shí)別潛在威脅和漏洞。所有大型網(wǎng)絡(luò)安全平臺(tái),比如賽門鐵克和邁克菲,都有此類技術(shù)產(chǎn)品。
團(tuán)隊(duì)購(gòu)買技術(shù)是為了其輸出,而不是為了技術(shù)本身。大型工具中內(nèi)置的行為匹配功能效果已然不錯(cuò):福布斯去年報(bào)道稱,邁克菲年收益超25億美元,而Darktrace銷售額達(dá)4億美元。
雖然期待專用行業(yè)工具銷量比肩家用平臺(tái)不太現(xiàn)實(shí),但統(tǒng)計(jì)結(jié)果顯示:在威脅檢測(cè)領(lǐng)域,獨(dú)立AI并未占領(lǐng)市場(chǎng)。真正的絆腳石是什么?不同身份的人給出的答案差異很大。
供應(yīng)商觀點(diǎn):抗拒改變的心理拖慢了威脅檢測(cè)AI的采納
去年12月5日的紐約AI峰會(huì)上,Eagan談到了抗拒改變的心理:網(wǎng)絡(luò)安全行業(yè)形成已30年了,因此,習(xí)慣于特定工具、方法和過程的技術(shù)人員不在少數(shù)。
不過,開放性思維和好奇心卻無關(guān)年齡,尋求突破和嘗試新技術(shù)的人自然會(huì)去擁抱威脅檢測(cè)AI。
分析師視角:威脅檢測(cè)AI難以解釋
Small稱,當(dāng)今市場(chǎng)上的獨(dú)立威脅檢測(cè)AI解決不了目前的信息安全問題。就拿安全中心做例子:AI好似黑盒,涉及被標(biāo)記事件是否真實(shí)的問題(是否誤報(bào)),它給出的答案要么是對(duì)的要么是錯(cuò)的,但你根本不知道為什么會(huì)錯(cuò)。
除了不知道為什么會(huì)誤報(bào),網(wǎng)絡(luò)安全人員還無法向媒體解釋他們?cè)诿鎸?duì)數(shù)據(jù)泄露事件時(shí)的決策。在數(shù)據(jù)安全訴訟越來越多的時(shí)代,這一限制讓安全人員更難以在法庭上為自己的決策辯護(hù)。
買家感受:無法應(yīng)對(duì)威脅檢測(cè)AI輸出的額外數(shù)據(jù)
人力資源公司Scout技術(shù)與信息安全總監(jiān)Gauthier對(duì)媒體報(bào)道和訴訟倒是不太擔(dān)心。他沒買威脅檢測(cè)AI技術(shù)是因?yàn)镾cout沒有足夠的人力來充分利用該技術(shù)。
我們是個(gè)小公司。這種流行AI威脅防護(hù)平臺(tái),或者說現(xiàn)下看起來很熱門的大量威脅情報(bào)饋送,全都是給你推送更多信息的。但這些信息某種程度上是第二層信息。我們真是沒有足夠的人手來處理這些看起來非常真實(shí)非常可操作的重大威脅。
雖然威脅檢測(cè)AI確實(shí)比綜合性平臺(tái)要高效,但出于成本效益考慮,如果還要為這額外的數(shù)據(jù)付費(fèi),如果無法就其情報(bào)采取行動(dòng),那就不能從中得到價(jià)值。監(jiān)視AI的輸出需要一定的人力,公司規(guī)模太小是負(fù)擔(dān)不起這額外的人力成本的。
對(duì)此,軟件公司Darktrace首席執(zhí)行官Eagan表示同意。該公司成立之初就討論過市場(chǎng)定位問題:如果只能將產(chǎn)品賣給可以聘用數(shù)據(jù)科學(xué)家的大型企業(yè),那自身市場(chǎng)范圍就會(huì)受限。因此,他們對(duì)開發(fā)人員說:
我們產(chǎn)品應(yīng)該能自學(xué)習(xí)、自維護(hù),這樣我們的客戶就不用額外招聘人員了。客戶不愿意聘用更多安全人員。
威脅檢測(cè)AI必須提供洞見,而不僅僅是信息
現(xiàn)在的AI僅僅提供信息,還需要安全人員梳理出其中含義。如果威脅檢測(cè)把自己限制在當(dāng)前的行為分析方法中,不求突破,那就永遠(yuǎn)無法提供安全團(tuán)隊(duì)真正想要的功能,采納率也無法提高。
AI供應(yīng)商應(yīng)考慮技術(shù)升級(jí):解釋為什么某個(gè)威脅是真警報(bào)。這事兒說起來容易做起來難,目前也就 IBM QRadar Advisor 正在研究。事件背后要解釋的因素太復(fù)雜了——發(fā)生了什么?是否完全平息了?有沒有波及他人?問題點(diǎn)在哪兒?如此有洞察力的AI肯定很難構(gòu)建,但只要構(gòu)建出來,一定很容易賣出去。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧