根据Capgemini的调查,80%的公司期望通过AI识别威胁并阻止攻击。但是,事实上,极少有人能够理解到AI之于安全的真正价值,或者AI技术能够有效地解决安全当中的各种问题。
有些人认为AI的滥用更多的是为了迎合市场————尤其是AI这个词本身就很有误导性:“人工智能”看上去就像一个能真的产生一种智能来解决各种问题的技术。然而,在现实中,大部分案例都是通过特定的机器学习算法去执行一个专门的任务。部分安全产品中的算法最多只能被称为弱AI。这些算法只能在海量的数据训练后,在某一领域执行相当特定的任务。这和一个真正的AI相差甚远。一个真正的AI应该是能够执行广泛类型的任务,并且能够在多种领域解决问题。而这种解决方案距离市场化还有很长的路要走。如果一个技术只能做某项特定的工作,那显然无法取代你团队中的人员。因此,任何认为AI能够解决网络安全技能短缺问题的人显然都想太多了。相反,这些解决方案只会让安全团队需要消耗更多的时间——这反而是很多时候被忽视的真相。以异常行为检测举例,安全运营中心的分析师们确实很需要发现网络中的各种问题,而机器学习可以很好地解决这个问题。然而,如果一个算法发现了过多的问题就看上去不那么美好了。所有的机器学习算法都会有一定的误报率,因此,安全团队依然需要人类去分析这些结果,而误报的问题越多,就有更多的安全事件需要去评估。对任何熟悉机器学习的人而言,这不是什么特别惊讶的结构;但对一些想使用这类解决方案的团队而言,这却未必是一个常识,从而会导致认为机器学习能给他们节省时间的不恰当期望。上述例子虽然是机器学习直接帮助安全团队,但机器学习同样能间接地帮助安全团队避免做一些可能会引起风险的错误。这是一个很有意思的思路,因为比起识别和缓解安全事件,这种方式可以减少引发安全事件的可能性。这样不仅可以解决当下最明显的问题,还能从长远来看带来可观的结果。另一个机器学习容易被忽略的问题是数据。任何的机器学习算法都必须有数据进行学习才能使用,而学习所需的时间可能远远久于期望长度,因此安全团队需要将这个因素放入考量。另一方面,在某些情况下最理想标签化数据,在安全领域里相当短缺。这又需要人类对安全事件进行识别,并训练算法。机器学习确实能帮助安全团队完成很多任务——但是前提条件是有足够的数据和专家。比起泛泛而谈“AI可以解决技能短缺问题”,我们更应该从提升效率和支援人类现有工作的角度思考AI。那么,CISO该如何在机器学习的大潮下使用这个技术,而不被一些夸大其词所忽悠?那需要非常严格的思考和分析:考虑使用机器学习后需要实现怎样具体的影响,在整个安全流程中又在哪个位置?目的是发现更多异常情况,还是防止用户或者应用发生错误?不同的答案会造成不同的解决方案。CISO必须完全了解不同机器学习算法中的利弊并进行权衡,同时知道自身的情况:需要解决哪些问题?有哪些高质量的数据从而保证机器学习能建立最优的模型?组织可以通过收集安全数据、分析自身能力以及安全团队的技能组开展行动。可能在未来,组织和机构还会需要一些安全中小企业对机器学习的结果进行解读。