在七月，華爾街經(jīng)歷了自2022年以來最糟糕的一天，以科技為主的納斯達(dá)克指數(shù)下跌了3.6%。此次下跌主要由于一些主要科技公司的業(yè)績未達(dá)到預(yù)期，評論人士認(rèn)為這是引發(fā)市場波動的原因。值得注意的是，受此次下跌打擊最嚴(yán)重的公司，往往是那些在AI領(lǐng)域投入大量資金的企業(yè)。

盡管AI引發(fā)了大量投資和樂觀預(yù)期，但越來越多的人開始擔(dān)憂其能力可能被過度夸大?？萍脊傻南碌癸@了決策者們面臨的巨大壓力，要求他們證明AI能真正實現(xiàn)其預(yù)期目標(biāo)。

對于首席信息安全官(CISO)而言，這種壓力尤為顯著，他們現(xiàn)在的任務(wù)不僅是確保AI驅(qū)動的舉措能加強(qiáng)網(wǎng)絡(luò)安全，還要展示出可以向公司高層和董事會傳達(dá)的可量化成果。

網(wǎng)絡(luò)安全尤其能夠從AI的能力中受益，AI的機(jī)器學(xué)習(xí)算法能夠幫助檢測用戶行為中的異常，這在當(dāng)今快速變化的威脅環(huán)境中是至關(guān)重要的。事實上，一項最新研究發(fā)現(xiàn)，78%的CISO已經(jīng)在某種程度上利用AI來支持其安全團(tuán)隊的工作。

然而，正如任何發(fā)展中的技術(shù)一樣，AI的應(yīng)用需要保持適當(dāng)?shù)膽岩蓱B(tài)度。為了確保對AI的投資能夠帶來實際成果，CISO在將AI整合到其網(wǎng)絡(luò)安全策略中之前，必須自問三個關(guān)鍵問題。

1. AI的應(yīng)用在哪些領(lǐng)域最有意義?

在實施AI之前，確定它可以在哪些領(lǐng)域產(chǎn)生最大的影響是至關(guān)重要的。

盡管許多從業(yè)者希望將AI整合到威脅檢測和響應(yīng)中，但了解其局限性同樣重要。大型語言模型(LLMs)在分析檢測日志并提供高級響應(yīng)指導(dǎo)方面可能非常有用，然而，威脅環(huán)境的動態(tài)特性帶來了挑戰(zhàn)：威脅行為者也在使用AI，他們演化的速度往往超過了現(xiàn)有的威脅識別系統(tǒng)。

為了跟上威脅行為者的步伐，AI可以在某些領(lǐng)域產(chǎn)生顯著且即時的影響，尤其是在自動化處理安全團(tuán)隊當(dāng)前大量耗時的重復(fù)性任務(wù)上。例如，AI驅(qū)動的見解和指導(dǎo)可以幫助安全運(yùn)營中心(SOC)的分析師更快地分流警報，減輕工作負(fù)擔(dān)，使他們能夠集中精力處理更復(fù)雜的威脅。通過利用AI提升SOC中的分析師，CISO可以釋放團(tuán)隊資源，專注于高優(yōu)先級問題，提升整體效率和響應(yīng)速度。

2. 我的用例中AI的有效性有證據(jù)支持嗎?

并非所有的用例都能同樣有效，在嘗試更具創(chuàng)新性的應(yīng)用之前，依賴經(jīng)過驗證的應(yīng)用會更安全。

例如，安全信息和事件管理(SIEM)系統(tǒng)長期以來一直使用AI和機(jī)器學(xué)習(xí)進(jìn)行行為分析。基于機(jī)器學(xué)習(xí)的用戶和實體行為分析(UEBA)系統(tǒng)在檢測可能表明安全威脅的異?；顒臃矫姹憩F(xiàn)出色，如內(nèi)部攻擊、賬戶被盜或未經(jīng)授權(quán)的訪問。

這些系統(tǒng)通過分析大量的歷史數(shù)據(jù)來建立用戶和實體的行為基準(zhǔn)，并持續(xù)監(jiān)控實時活動是否偏離常規(guī)。

通過專注于像UEBA這樣成熟的AI應(yīng)用，CISO可以確保其AI投資帶來價值，同時降低風(fēng)險。

3. 提供給AI模型的數(shù)據(jù)質(zhì)量如何?

AI成功的一個關(guān)鍵因素是提供給模型的數(shù)據(jù)質(zhì)量。AI模型的表現(xiàn)取決于其消耗的數(shù)據(jù)質(zhì)量，如果沒有準(zhǔn)確、完整且經(jīng)過豐富處理的數(shù)據(jù)，AI系統(tǒng)可能會產(chǎn)生有缺陷的結(jié)果。

在網(wǎng)絡(luò)安全領(lǐng)域，威脅不斷演變，為AI系統(tǒng)提供涵蓋攻擊面上下文、詳細(xì)日志、警報和異?；顒拥亩鄻踊瘮?shù)據(jù)集至關(guān)重要。

然而，像API這樣的新興攻擊面帶來了獨(dú)特的挑戰(zhàn)。API安全成為黑客的主要目標(biāo)，因為API經(jīng)常傳輸敏感信息。雖然傳統(tǒng)的Web應(yīng)用防火墻(WAF)過去可能足以保護(hù)API，但如今的威脅行為者已經(jīng)開發(fā)出更復(fù)雜的技術(shù)來突破外圍防御。不幸的是，由于API安全是一個相對較新的領(lǐng)域，這一攻擊面很少被監(jiān)控，更糟糕的是，它通常不包含在AI的威脅分析中。

由于成功取決于高質(zhì)量數(shù)據(jù)的可用性，AI可能尚未成為應(yīng)對諸如API等尚未成熟或正在興起的攻擊面的最佳解決方案，因為這些領(lǐng)域的基礎(chǔ)安全實踐可能仍在發(fā)展。在這種情況下，CISO必須認(rèn)識到，即使是最先進(jìn)的AI算法也無法彌補(bǔ)基礎(chǔ)安全措施和可靠數(shù)據(jù)的缺乏。

結(jié)論

AI在改變網(wǎng)絡(luò)安全方面具有巨大的潛力，但它并非萬能。通過提出有關(guān)AI在哪些領(lǐng)域可以創(chuàng)造最大價值的關(guān)鍵問題，依賴經(jīng)過驗證的用例，并確保獲得高質(zhì)量的數(shù)據(jù)，CISO可以做出明智的決策，決定如何以及何時將AI整合到其網(wǎng)絡(luò)安全策略中。在一個機(jī)遇和威脅都快速演變的環(huán)境中，AI實施的戰(zhàn)略性方法將成為成功的關(guān)鍵。