网络安全发展中AI驱动的威胁检测和响应探讨

    说起AI应该现在的安全分析厂商或是产品都已经具备这个能力,不然就无法在当前这么繁杂事件的情况下进行安全事件分析、溯源分析、取证分析、态势研判等,这将是一个非常耗时耗力的事情 。

    通过几次视频的学习以及个人经验的积累,作者在能力内整理一些看法材料供大家参考指正。

    首先AI它的特点就是针对于现有的特征集合进行分析,以得出必要的结论,以及相关的安全趋势。

    当前形势下唯AI论,不切实际,影响落地,不能因为要AI而AI。只有从实际的应用场景中分析以及效果上验证可行性,才有AI落地的可能性,现有很多在宣传上只是噱头,无法真正将AI的能力落地,产品落地,实际的安全应用场景。

    对于当前加密流量的可视化分析,从传统方式上,基本不可行,就我们之前做数据库审计而言 ,加密流量如果要处理基本的方案有如何几种,一种是通过代理的方式在完成代理转换后再进行审计,一种是获取证书的方式,当然第一种已经确认落地且能得到一个比较好的效果,相对的就是用户成本的投入;综合来看我们不管用哪种方式,也有通过以劫持证书欺骗的方式来进行验证,以获取真实信息,在整个用户的环境当中,客户体验非常差,因为这个里面所涉及到的一些类攻击方式很容易产生弹窗告警。所以很多用户在了解到这个问题的时候都有所担心。

    现在厂商都在提全量数据,从现有的网络流量上来看全量信息量很大,用什么分析什么如某一个厂商他主要是做威胁及情报分析,那么他在网络流量中所获取的就是相对应的部分内容,那如果是做行为分析的那还有做资产分析的,在网络流量中他们仅仅是获取自己相关性的部分内容。所以我们有了当前不少不同种类的DR类产品,比如NDR,EDR,DDR,ADR,ITDR等等(我这里只是在概念上进行了一些转述。)

    AI实际的应用情况,除了受具体的技术应用场景之外,它还受到一个非常重要的影响,就是算力(这个大家都应该知道,比如态势感知平台,比如现在的HIDS综合分析比较强的平台),这个是其关键之一的因素,从应用场景上来看传统的行业应用AI技术已经远超过it上面的AI技术应用。所以从这个维度来说,一方面是因为复杂度不同,数据量庞大,现有的数据分析等等各种不同的基于实际的以及环境等等周边性因素。再结合当前不同数据类型,结果可想而知。

    SDR,我也是最近听到的,这个是数世咨询提出的概念。意思是标准的检测与响应模型。这点其实也是从未来的发展方向上来进行考虑,因为当前光从一类检测设备上它所涉及的产品的种类,品牌,数量,厂家数量等等都完全不同,所以说如何标准化如何统一化,这将是在未来安全大发展中间的一个必然的一个趋势走向。(S,这个不听不看还真不是很理解 ,标准意思)

    再谈谈当前我们所有数据和信息来源的问题这里主要从两个大的方向第1个是终端,第2个是网络,我们可以把第1个终端理解为端点这样我认为更加准确!除了这个端点还有一个数据中心的主机端(这里AI正在产生数据,你懂得)

【注意总结的关键点】

1,网络安全防御体系的演变过程:基础设施、被动防御、主动(积极)防御、威胁情报、反制进攻。当然对于一个安全事件来说可以是:威胁检测,全包取证,攻击诱捕,溯源反制。

2,攻击链关联分析基于网络攻击链和复杂网络攻击过程进行建模,基于智能算法快速关联即溯源高级网络攻击行为事件。对于不同的攻击行为我们可以通过AI技术实现快速的关联分析、行为画像、溯源取证。

3,用户侧轻量级的端点安全以及持续进化的云原生平台 VS 复杂的臃肿的几乎无法运营的解决方案和安全架构,这个结果可想而知,无法去进行有效的安全运营和建设。

4,通过安全运营的思路建设,可持续改进的动态的运营流程和运营规范的制定,对所有的客户来说未来一定是可以提高网络安全质量以及降低网络安全的成本。(这个过程有点长,一些企业可能已经享受到它带来的好处了。)

    最后 ,在上次发布的甲乙方对产品的看法文章中我们也提到的一些关于产品应用的投放考虑维度,对于AI是否能取代人,不好说,但是当前我想还是从人的角度,以人为中心去考虑,如何在AI还无法取代人的时候让我们的用户接受它,让AI更加贴合场景应用,更加智能的解决现实中的问题,达到良好的人机共存状态。

【注:以上作者浅见,也有部分网上学习得到,仅作为参考】

##请不要手下留情,尽管点赞、收藏、评论,我将及时回复,感谢。

你可能感兴趣的:(网安产品洞见,看观分享,人工智能)