近年來(lái)，安全訪問(wèn)服務(wù)邊緣(SASE)技術(shù)快速發(fā)展，得到了較廣泛的行業(yè)應(yīng)用。SASE架構(gòu)通常包括了SD-WAN、FWaaS、安全Web網(wǎng)關(guān)、云訪問(wèn)安全代理(CASB)和零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)等核心組件。而Gartner最新的研究預(yù)測(cè)，人工智能(AI)與自動(dòng)化技術(shù)將成為新一代SASE服務(wù)的又一項(xiàng)關(guān)鍵技術(shù)，它會(huì)在減少誤報(bào)、保護(hù)數(shù)據(jù)安全等多個(gè)應(yīng)用場(chǎng)景下發(fā)揮更加重要的作用。

Gartner分析師表示：由于SASE廠商掌握著海量的網(wǎng)絡(luò)和安全威脅數(shù)據(jù)，因此在應(yīng)用AI和機(jī)器學(xué)習(xí)方面有著天然的優(yōu)勢(shì)。企業(yè)組織在選型新一代SASE服務(wù)時(shí)，可從以下方面考量其AI與自動(dòng)化的應(yīng)用性能：

1. 減少錯(cuò)誤告警

警報(bào)疲勞是切實(shí)存在的問(wèn)題，安全分析師因每天要處理大量警報(bào)而焦頭爛額。調(diào)查顯示，60%的專業(yè)人員表示每天收到500多個(gè)云安全警報(bào)，巨額工作量導(dǎo)致55%的受訪者每天或每周都錯(cuò)過(guò)重要警報(bào)。將AI用于安全和事件異常檢測(cè)以及對(duì)事件進(jìn)行分類，其主要好處是加快了檢測(cè)速度，同時(shí)大幅減少了誤報(bào)。

2. 網(wǎng)絡(luò)分析和修復(fù)

如今企業(yè)紛紛轉(zhuǎn)向智能網(wǎng)絡(luò)，利用AI和機(jī)器學(xué)習(xí)做出決策，盡可能減少人工干預(yù)。在SASE環(huán)境下，這可能體現(xiàn)為自動(dòng)分析網(wǎng)絡(luò)流量。利用AI的SD-WAN可以跟蹤流量峰值以避免性能問(wèn)題。如果未達(dá)到服務(wù)級(jí)別，基于AI的網(wǎng)絡(luò)可以轉(zhuǎn)移工作負(fù)載或轉(zhuǎn)移用戶訪問(wèn)權(quán)限。據(jù)Gartner研究，2021年，部署SD-WAN的企業(yè)中不到5%使用AI功能實(shí)現(xiàn)自動(dòng)化運(yùn)營(yíng)，到2025年這個(gè)比例將達(dá)到40%。

3. 智能化運(yùn)維

AI的另一個(gè)重要應(yīng)用場(chǎng)景是智能化運(yùn)維。通過(guò)智能化運(yùn)維，可能讓安全管理者更好了解網(wǎng)絡(luò)設(shè)備的運(yùn)營(yíng)狀態(tài)，對(duì)可能發(fā)生故障的設(shè)備提前感知，這樣就可以讓支持人員或維修人員提前做出準(zhǔn)備。智能化運(yùn)維目前已成為AI技術(shù)最成熟的應(yīng)用領(lǐng)域，特別是在智能制造等行業(yè)場(chǎng)景中。

4. 用戶行為分析和異常行為檢測(cè)

SASE廠商可訪問(wèn)大量數(shù)據(jù)，利用這些數(shù)據(jù)為人和設(shè)備在網(wǎng)絡(luò)中應(yīng)有的行為建立基準(zhǔn)，這有助于身份驗(yàn)證和發(fā)現(xiàn)可疑活動(dòng)。從網(wǎng)絡(luò)的角度來(lái)看，需要確保連接到網(wǎng)絡(luò)的實(shí)體的身份真實(shí)有效。AI模型可以快速識(shí)別連接到網(wǎng)絡(luò)的端點(diǎn)類型，分析訪問(wèn)網(wǎng)絡(luò)的每個(gè)客戶端，并讓安全專家了解網(wǎng)絡(luò)上的情況。

5. 數(shù)據(jù)防泄漏

數(shù)據(jù)防泄漏并不是SASE的核心功能，卻是許多SASE廠商最近添加或正在推出的功能。它可以防止敏感數(shù)據(jù)被外部攻擊者或惡意內(nèi)部人員從公司的系統(tǒng)中泄露出去。結(jié)合AI，數(shù)據(jù)丟失預(yù)防工具可以識(shí)別故意混淆、企圖繞過(guò)基于關(guān)鍵字的簡(jiǎn)單過(guò)濾器的數(shù)據(jù)。

內(nèi)部威脅是當(dāng)今企業(yè)面臨的最大問(wèn)題之一。離職員工往往可以獲取敏感信息，比如設(shè)計(jì)文檔和代碼。惡意內(nèi)部人員可以竊取公司數(shù)據(jù)，對(duì)外共享。AI不僅可以阻止數(shù)據(jù)離開(kāi)公司，還能拒絕訪問(wèn)數(shù)據(jù)。我們看到SASE廠商正在加入數(shù)據(jù)丟失防護(hù)功能，從而阻止惡意用戶竊取并泄露數(shù)據(jù)。

6. 識(shí)別和預(yù)防高級(jí)威脅

傳統(tǒng)的入侵檢測(cè)系統(tǒng)擅長(zhǎng)檢測(cè)已知漏洞，可以防止相同的攻擊再次發(fā)生，但響應(yīng)新威脅的速度可能很慢。通過(guò)使用所有的已知漏洞訓(xùn)練AI模型，可以立即發(fā)現(xiàn)并阻止尚未發(fā)生的攻擊，許多新攻擊是之前已知的威脅的不同版本。一些威脅受益于監(jiān)控和自動(dòng)緩解機(jī)制，而更復(fù)雜的攻擊仍需要有勞安全專家處理。安全方面肯定會(huì)遇到誤報(bào)，很可能需要一些資深技術(shù)人員分析誤報(bào)。

7. DDoS 攻擊緩解

不安全的聯(lián)網(wǎng)設(shè)備持續(xù)增多，組織改用高速5G網(wǎng)絡(luò)，以及服務(wù)化的分布式拒絕攻擊產(chǎn)業(yè)迅猛發(fā)展，讓企業(yè)面臨更嚴(yán)峻的DDoS 攻擊威脅。對(duì)于DDoS之類的攻擊，組織需要擁有能非常迅速的應(yīng)對(duì)能力。DDoS攻擊緩解是SASE廠商們提供的常見(jiàn)功能，也是用戶相信AI能處理好的最簡(jiǎn)單的任務(wù)之一。

8. 協(xié)助安全分析師

如果AI能處理重復(fù)性的常規(guī)任務(wù)，安全分析師可以將時(shí)間花在較復(fù)雜的問(wèn)題上。AI可以了解安全分析師的習(xí)性和偏好，幫助他們更高效地完成日常工作，從而對(duì)安全分析師的工作大有助益。

但AI目前并沒(méi)有準(zhǔn)備好在沒(méi)有人參與的情況下獨(dú)立發(fā)揮功效。AI在幾乎所有的SASE解決方案中仍處于早期階段。長(zhǎng)遠(yuǎn)來(lái)看，盡管AI很有價(jià)值，但組織仍需要優(yōu)秀工程師在關(guān)鍵性問(wèn)題上人工做出可靠的決策。

參考鏈接：https://www.networkworld.com/article/3657610/how-sase-uses-ai.html