受安全威胁困扰的时代的可见性和人工智能

安全漏洞和事件以惊人的规律性发生，媒体报道的大人物，只是发生的实际数量的一小部分。

就在上周，横跨澳大利亚和新西兰的主要金融服务提供商 Latitude Financial 公布了影响其 1400 万客户的网络攻击和数据泄露的详细信息。

如果我们要确保我们的人员和系统安全，我们必须采取“不是如果，而是何时”的心态，并采取措施提高理解的清晰度以及捕捉和响应威胁的效率。 

当今世界要求企业改进网络安全措施并提高对威胁和攻击面的可见性，否则就会成为复杂和有针对性的攻击的牺牲品。

一个组织的可见性越高，就越有能力及时、有意义地检测和响应。

幸运的是，随着安全性越来越重要，有更多的工具和解决方案可用，人工智能 (AI) 等使我们能够更好地了解我们的攻击面并快速捕获威胁。

通往知名度和让未知成为已知的道路

让我们首先考虑未知数。过去几年导致我们的工作方式发生了重大变化，包括远程工作的大量增加、系统的显着变化（包括云采用的大幅增加）、更大的财务压力以及寻找人才的困难。

这些变化导致了更大的攻击面、更多的漏洞和漏洞、更多的工具和警报，以及更小、更过度工作的团队。同时，攻击者的渗透方法更加规避和复杂。

Gartner 的分析师预测，到 2025 年，近一半的网络安全领导者将因压力和倦怠而换工作。

正如 Gartner 副总裁分析师 Paul Furtado 所强调的那样，部分问题在于内部风险以及传统网络安全工具缺乏提供对来自外部和网络内部威胁的可见性的能力这一事实。

的确，我们的攻击面通常比我们想象的要大得多。假设我领导着一个安全团队，负责照顾 4,500 名员工。

我有一个资产登记簿，记录了 4,500 台笔记本电脑、2,500 台服务器，我的网络上总共有 7,000 项资产。但是，它还显示我在网络上有 15,000 个活动 IP 地址。 

仅看到 50% 的资产被记录为端点以及额外的 IP 地址路由器、交换机、打印机、相机、电话和其他服务的统计数据并不少见。

这些额外的 IP 地址可能是访客网络上的个人设备、云计算服务和容器工作负载，甚至是运行未受监控活动主机的传统服务器应用程序服务。

安全团队现在的任务是定义每个项目中的漏洞并在这些环境中执行控制。例如，封闭的操作系统不允许端点控制措施，但攻击者仍然可以利用它进行攻击。

因此，拥有完整的视角至关重要，而这正是技术解决方案大放异彩的地方。

获得对攻击面的可见性意味着了解超出您公司所拥有的威胁媒介。考虑未经授权的访问。顾名思义，这是一个越来越普遍的术语，指的是在未经明确许可或授权的情况下访问计算机系统、网络或应用程序的行为。

正如本月报道的那样，澳大利亚联邦银行的印度尼西亚分行最近受到一起事件的严重影响，该事件涉及未经授权访问用于项目管理的基于 Web 的软件应用程序。

同样，AT&T 最近公开宣布，早在 1 月份，一个未经授权的人就破坏了供应商的系统并获得了对公司客户专有网络信息 (CPNI) 的访问权限。 

我们不能掉以轻心。通过专家工具获得可见性和清晰度可减轻安全团队的负担，并极大地提高组织了解威胁的能力，同时也使其有机会快速有效地进行补救。  

人工智能在可见性和安全性中的作用

根据 MarketsandMarkets 的数据，2023 年网络安全领域的 AI 市场规模为 224 亿美元，预计到 2028 年将达到 606 亿美元，2023 年至 2028 年的复合年增长率为 21.9%。

与此同时，IDC 发现网络安全已经确定作为亚太地区的顶级投资，其中领先的类别之一是人工智能和机器学习。

然而，研究发现，只有 13% 的亚太地区受访者表示这是投资重点，暗示该地区落后。

AI 是一个强大的工具，可以提高信号清晰度并最大限度地利用我们现在更加明显的攻击面。人工智能通过让我们将攻击的行为方面归零并考虑所有可能的渗透点来提高信号清晰度。

攻击者可能正在利用人工智能或自动化来加速他们的攻击，但这并不会从本质上改变他们的行为。他们仍然需要采取某些行动来破坏网络，而这些行为标记是我们可以利用的。

安全团队会收到可疑行为的警报，从而提高效率并帮助他们筛选警报噪音。

我们从许多组织那里听说，他们从他们的安全工具中收到了太多的误报，而安全团队被淹没在他们不知道如何处理的信息中。

利用人工智能并不是要取代人类；而是要取代人类。这是关于使我们的工作更加高效和清晰。我们可以将日常任务自动化，以释放员工、放大攻击并提高我们的响应能力。

在响应方面，我们必须知道如何处理收到的攻击警报。否则，我们所有的清晰都是徒劳的。

首先，我们确定攻击是什么，其次确定如何应对。修复是一个有用的指标，因为它强调我们的目标是将攻击者从环境中移除，但考虑到将有多种方法可以做到这一点，具体取决于系统和环境。

不能一刀切，我们必须灵活，但我们可以创建具有内置灵活性的可重复程序。平均修复时间等指标可以展示人工智能在实际结果和回报方面的价值和好处。

展望未来，我们希望看到 CISO 和安全领导者更多地投资于工具，以提高效率并支持安全团队筛选警报并发现庞大而广泛的攻击环境中的威胁。

解决方案就在那里，而且它们一直在变得更好；它只是了解它们是什么以及如何将它们集成以获得最大利益。