適用於網路安全定義的 AI
適用於網路安全性的 AI 會使用 AI 來分析並關聯多個來源的事件和網路威脅資料,將其轉換為安全專業人員用於進一步調查、回應和報告之清楚且可採取動作的深入解析。如果網路攻擊符合安全性小組所定義的特定準則,AI 可以自動化回應並隔離受影響的資產。生成式 AI 以現有資料中的模式為基礎,產生原始自然語言文字、影像和其他內容,以進一步推動這個步驟。
AI 網路安全的演進
至少從 1980 年代末開始,安全性社群就開始將 AI 用於網路安全性,並獲得以下關鍵技術進展:
- 一開始,安全性小組會使用以規則為基礎的系統,根據定義的參數觸發警示。
- 自 2000 年初起,機器學習 (可分析及學習大型資料集的 AI 子集) 已讓作業小組了解整個組織的一般流量模式和使用者動作,以找出異常情況並做出回應。
- AI 的最新改進是生成式 AI,它根據現有資料的結構來建立新內容。人員會使用自然語言與這些系統互動,讓安全性專業人員不需要使用查詢語言,即可深入探討非常特定的問題。
但不只是使用 AI 的安全性小組。網路攻擊者 (無論是民族國家行為者、大型犯罪企業或個人) 也可能利用 AI 來取得優勢。不良人士感染 AI 系統、使用 AI 來冒充合法人員、自動化其網路攻擊,以及部署 AI 來協助研究及識別 網路攻擊目標。使用者也會將敏感資料貼到 AI 提示中,並意外將資料外洩給大眾。
生成式 AI 在網路安全性中的影響
生成式 AI 仍處於早期階段,最近才在 Microsoft 安全性 Copilot 才隨著公告在安全性引入。它可能透過以下方法,大幅簡化分析師和其他安全性專業人員的安全性工作:
- 將資料合成為可採取動作的建議和具有適當內容深入解析,協助引導事件調查。
- 建立可人讀的報告和簡報,分析師可以使用這些報表和簡報來協助組織其他人了解目前的情況。
- 回答有關自然語言或圖形中事件或弱點的問題。
當安全性社群將生成式 AI 建置到安全性產品和解決方案中時,以負責的方式加以建立非常重要。人們需要知道新系統尊重隱私權,並且可靠且安全。準確度和精確性是目前生成式 AI 模型的已知問題,但隨著技術改善,它可協助組織在 AI 導向的網路威脅之前保持領先。
網路安全 AI 如何運作?
AI 安全性使用案例
AI 在協助安全性專業人員更有效地完成工作時最有效,而非取代安全性專業人員。AI 安全性的一些常見使用案例包括:
-
身分識別和存取權管理
AI 用於身分識別與存取管理 (IAM),以了解使用者登入行為的模式,並偵測並發現異常行為,讓安全性專業人員追蹤。它也可以用來在符合特定條件時,自動強制雙因素驗證或密碼重設。如有需要,如果有理由認為帳戶已遭到入侵,它可以封鎖使用者進行登入。
-
端點安全性與管理
AI 可協助安全性專業人員識別組織內部使用的所有端點,並協助他們使用最新的操作系統和安全性解決方案進行更新。AI 也可以協助找出惡意程式碼,以及組織裝置上網路攻擊的其他證據。
-
雲端安全性
大部分組織都大量投資在雲端。他們管理一或多個雲端服務提供者的基礎結構,並使用各種廠商的雲端應用程式。AI 可協助小組了解其多雲端資產的風險和弱點。
-
網路威脅偵測
延伸偵測和回應 (XDR) 和安全性資訊與事件管理 (SIEM) 解決方案可協助安全性小組發現整個企業的網路威脅。若要這樣做,這兩個解決方案都高度依賴 AI。XDR 解決方案會監視端點、電子郵件、身分及雲端應用程式,以尋找異常行為以及向小組顯示事件,或根據安全性作業定義的規則自動回應。SIEM 解決方案使用 AI 彙總來自整個企業的訊號,讓小組能夠更清楚地了解發生的情況。
-
資訊保護
安全性小組會使用 AI 來識別並標示整個環境的敏感資料,無論是放在組織的基礎結構或雲端應用程式中。AI 也可以協助偵測某人何時嘗試將資料從公司外移動,並封鎖動作或向安全性小組提出問題。
-
事件調查與回應
在事件回應期間,安全性專業人員必須排序許多資料,以發現潛在的網路攻擊。AI 可協助識別多個資料源中最實用的事件並相互關聯,為專業人員節省寶貴的時間。生成式 AI 以自然語言將分析翻譯成自然語言並回答問題,進一步簡化調查。
AI 安全性的益處
隨著網路威脅數量增加、資料量增加,以及網路攻擊面擴大,AI 有多種方式可協助安全性作業小組提升效率。
-
更快速地偵測重大網路威脅
許多安全性解決方案 (例如 SIEM 或 XDR) 會記錄數千個可能表示異常行為的事件。雖然這些事件大部分都是無風險,但有些則沒有,遺失潛在網路威脅的風險可能非常龐大。AI 可協助識別真正重要的事件。它也可以協助偵測看起來不可疑的行為,但與其他活動相關聯時,表示潛在的網路威脅。
-
簡化報告
使用生成式 AI 的工具可以從數個資料源提取資訊,以建立易於理解的報告,讓安全性專業人員可以快速地與組織中的其他人共用。
-
識別弱點
AI 可協助偵測潛在的風險,例如未知的裝置和雲端應用程式、過時的作業系統,或未受保護的敏感資料。
-
協助分析師提升其技能
由於虛生成式 AI 可協助將網路威脅資料和分析翻譯成自然語言,因此技術技能較少的分析師可以更具生產力。生成式 AI 可協助識別補救步驟,讓新的小組成員快速了解如何有效地因應網路攻擊。
-
提供網路威脅分析和深入解析
複雜的網路攻擊通常嘗試跨不同的身分識別、裝置、應用程式和基礎結構來規避偵測。由於 AI 可以快速處理來自各種來源的眾多資料,因此可協助識別此可疑行為,並優先處理安全性專業人員應該注意的網路威脅。
-
網路威脅偵測和防護的 AI 安全性
AI 在網路安全方面最重要的用途之一,就是網路威脅偵測和預防。機器學習演算法和 AI 有多種方式可協助識別並防止網路威脅:
- 受監督的學習模型會使用已標記和分類的資料來協助訓練系統。例如,某些已知的惡意程式碼具有唯一的簽章,使其不同於其他類型的網路攻擊。
- 在不受監督的學習中,機器學習演算法會識別資料中尚未標記的模式。這是 AI 偵測沒有已知簽章的高階或新興網路威脅的方式。其會尋找超出標準的活動,或尋找模仿其他網路攻擊的模式。
- 使用使用者和實體行為分析,系統會評估使用者流量模式以了解已知行為,以便識別使用者何時執行意外或可疑的行為,這可能表示帳戶洩露。
- AI 系統也會使用自然語言處理來分析非結構化資料源,例如社交媒體,以產生威脅情報。
什麼是 AI 支援的網路安全性工具?
AI 已整合至數個網路安全性工具,可協助改善其有效性。以下是一些範例:
- 新一代防火牆和 AI:傳統防火牆根據系統管理員定義的規則,決定允許或封鎖流量。新一代防火牆超越這些功能,使用 AI 來深入威脅情報資料,協助識別新的網路威脅。
- AI 增強型端點安全性解決方案:端點安全性解決方案使用 AI 來識別端點弱點,例如過時的作業系統。AI 也可以協助偵測裝置上是否已安裝惡意程式碼,或是否有異常數量的資料從端點外洩。AI 也可以將端點與數位環境的其餘部分隔離,協助阻止端點網路攻擊。
- AI 導向的網路入侵檢測與預防系統:這些工具會監視網路流量,以發現嘗試透過網路侵入組織的未經授權使用者。AI 可協助這些系統更快速地處理資料,以找出並封鎖網路攻擊者,再造成太多損害。
- AI 和雲端安全性解決方案:由於許多組織會針對基礎結構和應用程式使用多個雲端,因此很難追蹤跨不同雲端和應用程式移動的網路威脅。AI 可協助雲端安全性 ,方法是分析所有來源的資料,以識別弱點和潛在的網路攻擊。
- 使用 AI 保護物聯網 (IoT) 裝置:與端點和應用程式非常類似,組織通常有許多 IoT 裝置是潛在的網路攻擊媒介。AI 可協助偵測任何單一 IoT 裝置的網路威脅,並發現多個 IoT 裝置上可疑活動的模式。
- XDR 和 SIEM:XDR 和 SIEM 解決方案會從多個安全性產品、記錄檔案和外部來源提取資訊,協助分析師了解其環境中所發生的情況。AI 可協助將所有這些資料合成為清楚的深入解析。
AI 網路安全性的最佳作法
使用 AI 支援安全性作業需要仔細規劃與實施,但使用正確的方法,您可以引進工具,在操作效能和團隊健康方面進行有意義的改善。
-
開發策略
有許多 AI 產品和解決方案可用於安全性,但並非所有產品與解決方案都適用於您的組織。您的 AI 解決方案必須彼此和您的安全性架構整合良好,否則它們最終可能會為您的團隊創造更多工作。先考慮您最大的安全性挑戰,然後找出可協助解決這些問題的 AI 解決方案。花一些時間開發一個計劃,將 AI 整合到您目前的程式與系統中。
-
整合您的安全性工具
當 AI 能夠分析整個組織的資料時,安全性最有效。如果您的工具是在孤立區中運作,這是一項挑戰。投資可與您的目前環境一起合作的工具,例如整合式 XDR 和 SIEM 解決方案。或者,如有需要,請配置時間和資源給您的團隊以整合工具,以便在整個數位資產中取得完整的可見度。
-
管理資料隱私權和品質
AI 系統根據用來訓練和操作它們的資料,以做出決策並提供深入資訊。如果資料有錯誤或資料已損壞,AI 會提供不良的深入解析,並做出錯誤的決策。在規劃期間,請確保您有適當的流程來清理資料和保護隱私權。
-
持續測試您的 AI 系統
執行之後,定期測試系統將可協助識別產生新資料的偏差或質量問題。
-
有倫理地使用 AI
這些年累積的很多資料不正確、有偏差或過時。除此之外,AI 演算法和邏輯不一定都是透明的,因此很難確切知道它如何產生深入解析和結果。在因使用的資料有偏差而可能以不公的方式處理特定個人的情況中,確保 AI 不是最終的決策者,這一點非常重要。深入了解負責任 AI。
-
定義使用生成式 AI 的原則
確保員工和合作夥伴了解貴組織使用生成式 AI 工具之原則。尤其重要的是,使用者不要將機密和機密資料貼到生成式 AI 提示中,因為資料可能會變成公開。
AI 網路安全性的未來
AI 對於安全性的角色只會持續成長。在來年,安全性專業人員可以預期:
- AI 在偵測網路威脅方面會變得更好,並減少誤判。
- 當 AI 更能夠回應和緩解更多種網路攻擊類型時,安全性作業小組將自動化其更冗長的工作。
- 組織將使用 AI 來協助解決弱點並改善安全性狀態。
- 安全性專業人員仍將受到高度需求。
- 人員將扮演更具策略性的角色,例如處理最複雜的安全性事件和主動式網路威脅搜尋。
它不只是安全性社群,也會讓 AI 更具效率。網路攻擊者也在 AI 上投資,可能會使用這項技術來:
- 一次破解大量密碼。
- 建立難以區分正版電子郵件的複雜的 網路釣魚 活動。
- 開發難以偵測的惡意程式碼。
當不良人士將更複雜的 AI 整合到其網路攻擊方法中時,安全性社群更必須投資 AI,以領先這些網路威脅。
AI 安全性解決方案
隨著網路攻擊面擴大,組織面臨越來越多的網路威脅。對於網路安全性專業人員來說,持續進行可能會是一大挑戰,特別是因為人才不足。AI 承擔更多冗長、低技能的工作,承諾讓安全性專業人員的工作更滿足且更具策略性。組織可以立即開始將 AI 納入安全性作業,以使用更多 AI 導向的網路攻擊來準備未來。先從策略開始,然後投資最有可能説明您解決現今最大的安全性挑戰的工具。
深入了解 Microsoft 安全性
常見問題集
-
適用於網路安全性的 AI 使用 AI 來分析並關聯跨多個來源的事件和網路威脅資料,將其轉換為安全分析師用於進一步調查及網路攻擊緩和的清楚且可採取動作的深入解析。如果網路攻擊符合安全性小組所定義的特定準則,AI 可以自動化回應,並隔離並移除網路攻擊或病毒。
-
AI 正用於許多安全性層面,包括身分識別保護、端點保護、雲端安全性、資料保護、網路威脅偵測,以及事件調查與回應。
-
AI 安全性的一個範例是使用機器學習演算法來分析使用者行為,以識別模式。了解正常情況後,這些系統就能偵測或許是網路攻擊的指示器異常行為。在另一個範例中,安全性專業人員會使用生成式 AI 來詢問特定事件或環境的問題,並取得圖表或自然語言文字,以從多個資料源提供更多內容與深入解析。
-
機器學習是 AI 的子集,可偵測來自大量資料的模式。使用機器學習的安全性系統經過一段時間,可以了解組織中典型的流量模式和使用者動作,並識別何時發生異常狀況。其也可評估來自數個不同系統的事件,這些事件可能看似無影響,但加在一起代表風險。
-
適用於安全性的 AI 為企業提供許多益處,包括:
減少事件回應時間。
更快且更精準地偵測網路威脅。
自動化特定已知網路威脅的回應。
讓安全性專業人員得以專注於主動式工作。
改善安全性態勢。
簡化報告。
協助分析師提升其技能。
關注 Microsoft 安全性