2022，網絡安全的人工智能年 - 網安 - 專業的網絡安全產業、社區、知識平臺

2022年是人工智能和機器學習技術在網絡安全領域取得重大突破的一年，也是企業CISO們開始利用人工智能技術突破網絡安全“不對稱戰爭”困局的一年。

企業網絡安全是一場“不對稱戰爭”，黑客攻擊技術和手段的創新迭代比企業網絡安全防御快很多。因此，2022年網絡安全成了最熱門的人工智能技術應用領域。

據Forrester的最新報告“2022年全球人工智能（AI）軟件預測”，到2025年，網絡安全將是人工智能支出增長最快的細分市場，相關支出的復合年增長率(CAGR)高達22.3%。

今天，人工智能(AI)和機器學習(ML)能幫助企業完成海量數據分析、提高檢測和響應速度，保護正在建設的數字化轉型項目。“人工智能在處理海量數據以及數據分類方面效率極高。在微軟，我們每天處理24萬億個信號，涉及身份、端點、設備和協作工具等等。如果沒有人工智能技術，我們根本無法解決這個問題。”微軟安全、合規、身份和隱私公司副總裁Vasu Jakkal在今年早些時候的RSA大會上說道。

本文，我們將深入討論人工智能掀起的新一輪網絡安全技術革命的創新熱點，以及企業如何從人工智能技術中獲益。

人工智能有助于縮小人才與技能差距

2022年是人工智能和機器學習在網絡安全領域取得重大突破的一年。這兩種技術使規模不大的網絡安全團隊也能夠完成復雜高效的安全分析，提供大規模安全服務。93%的IT主管已經在使用或考慮實施人工智能和機器學習技術來加強他們的網絡安全技術堆棧。其中，64%的IT高管已在至少一個安全生命周期流程中實施了人工智能增強安全技術，29%的高管正在評估供應商。

根據VentureBeat的調查，推動CISO采用人工智能技術的主要動力之一是企業需要用更少的人完成更多與收入相關的安全服務項目。基于人工智能和機器學習的應用程序和平臺能夠幫助企業解決網絡安全人才和技能短缺的問題，后者使企業面臨更高的違規風險。根據(ISC)2網絡安全勞動力研究，“企業界需要增加340萬網絡安全工作者才能有效保護資產。”

CISO還需要人工智能系統提供的實時數據洞察力來微調預測模型，全面了解其安全態勢并制訂實施零信任安全框架的策略。根據Pillsbury的報告，到2027年，企業在人工智能和機器學習網絡安全解決方案上的支出預計將以24%的復合年增長率(CAGR)高速增長，市場規模將達到460億美元。

人工智能在網絡安全領域的熱門應用

根據IBM最新發布的2022年AI和網絡安全自動化報告，當前人工智能在網絡安全領域的熱門應用主要集中在預防和防護領域，具體如下：

報告顯示，大多數企業能夠跟蹤的端點數量不會超過總數的40%這使得它更具挑戰性，因為許多IT團隊不確定他們的內部流程每年創建了多少個端點。

根據IBM的人工智能安全技術報告，如今超過三分之一（35%）的使用人工智能技術加強其技術堆棧的企業表示，端點發現和資產管理是他們的主要用例。企業計劃在三年內將端點發現和資產管理的使用增加15%，最終近一半的企業將部署端點發現和資產管理方案。

鑒于企業數字證書管理的混亂現狀，不難理解為什么如此多的企業將端點恢復和資產管理視為高優先級任務。例如，Keyfactor發現多達40%的企業使用電子表格手動跟蹤數字證書，57%的企業沒有準確的SSH密鑰清單。

人工智能安全技術的另外一個熱點是與零信任計劃相關的網絡安全投資，包括漏洞和補丁管理、訪問管理和身份訪問管理(IAM)。例如，目前有34%的企業正在使用基于人工智能技術的漏洞和補丁管理系統，預計三年后這一比例將躍升至40%以上。

毫無疑問，改善端點發現和資產管理、補丁管理是2022年CISO的優先事項。此外，根據VentureBeat在行業活動（包括RSA、BlackHat 2022、CrowdStrike的Fal.Con等）中進行的CISO調查，盡管IT和安全團隊感受到了預算壓力，但人工智能安全技術在幾個核心領域繼續贏得投資和預算。這些熱門領域包括：

用戶行為分析（現在已經是許多網絡安全平臺的核心功能）
基于機器人的補丁管理
合規性
身份訪問管理(IAM)
識別和保護機器身份
特權訪問管理(PAM)，其中人工智能用于風險評分和身份驗證

以下，我們深入解讀人工智能網絡安全技術領域最具價值的創新領域：

一、使用人工智能和機器學習改進行為分析，提高身份驗證的準確性。端點保護平臺(EPP)、端點檢測和響應(EDR)統一端點管理(UEM)以及一些公共云提供商，包括Amazon AWS、Microsoft Azure等，正在結合人工智能和機器學習模型來改進安全個性化，同時強制執行最小權限訪問。

領先的網絡安全提供商正在集成預測性人工智能和機器學習技術，根據用戶嘗試登錄的地點和時間的模式、設備類型、設備配置和其他幾類變量，實時為每個用戶調整安全策略和角色。例如，基于對先前用戶行為的分析以及從執行前和執行后傳感器中學到的見解，微軟Defender（下圖）的人工智能和機器學習技術已被證明可有效地識別和阻止惡意登錄嘗試。

該領域領先的提供商包括Blackberry Persona、Broadcom、CrowdStrike、CyberArk、Cybereason、Ivanti、SentinelOne、Microsoft、McAfee、Sophos、VMware Carbon Black等。

企業CISO們表示，此類基于人工智能技術的端點管理方法降低了設備丟失或被盜的風險，防止設備和應用程序克隆和用戶假冒。

二、通過結合機器學習和自然語言處理(NLP)來發現和保護端點。根據Gartner的2022年攻擊面管理創新洞察報告，攻擊面管理(ASM)由外部攻擊面管理(EASM)、網絡資產攻擊面管理(CAASM)和數字風險保護服務(DRPS)組成。Gartner預測到2026年，20%的公司將擁有超過95%的資產可見性，這些資產的風險與控制優先級將通過實施CAASM功能實現，與之相比，2022年CAASM的資產覆蓋不到1%。

該領域的領先供應商正在結合機器學習算法和NLP技術來發現、映射和定義端點安全計劃，以保護組織中的每個端點。領先的供應商包括Axonius、Brinqa、Cyberpion、CyCognito、FireCompass、JupiterOne、LookingGlass Cyber、Noetic Cyber、Palo Alto Networks（通過收購Expanse）、Randori等。

三、用人工智能和機器學習自動化攻擊指標(IOA)，阻止網絡入侵和破壞。基于人工智能技術的IOA使用基于云的機器學習和實時威脅情報來加強現有防御，在運行時分析事件并向傳感器動態發布IOA。然后，傳感器將AI生成的IOA（行為事件數據）與本地事件和文件數據相關聯，以評估惡意性。

CrowdStrike表示，人工智能驅動的IOA與現有的傳感器防御層異步運行，包括基于傳感器的ML和現有的IOA。其基于AI的IOA在該公司十多年前發明的通用平臺上結合了云原生ML和人類專業知識。自推出以來，基于AI的IOA已被證明可以有效地識別和阻止入侵和破壞企圖，同時能夠根據實際的對手行為實時擊敗它們。

人工智能驅動的IOA依賴CrowdStrike Security Cloud的遙測數據以及企業威脅搜尋團隊訓練的云原生ML模型。使用人工智能和機器學習技術以機器速度分析IOA，滿足企業阻止攻擊所需的準確性、速度和規模。

CrowdStrike首席產品和工程官Amol Kulkarni表示：“CrowdStrike憑借行業領先的攻擊能力指標在阻止最復雜的攻擊方面處于領先地位，這徹底改變了安全團隊的威脅預防方式：根據對手行為，而不是飄忽的指標。”

“現在，我們通過添加人工智能驅動的攻擊指標再次改變游戲規則，這使企業能夠利用CrowdStrike安全云的力量以機器速度和規模檢查對手行為，以最有效的方式阻止網絡攻擊”人工智能驅動的IOA已經確定了20多種前所未見的對手模式，專家們已經在Falcon平臺上驗證并實施這些模式以進行自動檢測和預防。

CrowdStrike基于人工智能的IOA在實時收集、分析和報告網絡遙測數據方面具有優勢，還提供對所有網絡活動的持續記錄視圖。資料來源：CrowdStrike

四、人工智能和機器學習技術通過上下文智能豐富了基于機器人的補丁管理。當今網絡安全最具創新性的熱點領域之一是通過人工智能和機器學習技術的組合來定位、清點和修補需要更新的端點。安全廠商通過提高機器人預測的性能和準確性，來自動識別哪些端點、機器和系統需要打補丁。

Ivanti最近對補丁管理的調查發現，71%的IT和安全專業人士認為打補丁過于復雜和耗時，53%的人表示嚴重漏洞的優先級排序占用了他們大部分時間。

面對勒索軟件威脅，企業需要更加自動化和智能化的補丁管理。企業需要采取數據驅動的方法來有效遏制勒索軟件。Ivanti總裁兼首席產品官Nayaki Nayyar認為，導致勒索軟件攻擊的往往是一些最常見的軟件錯誤。在RSA期間，她介紹了Ivanti Neurons for Risk-Based Patch Management如何提供上下文智能，包括對所有端點的可見性、基于云和本地的端點，所有這些都來自一個統一的界面（下圖），反映了基于人工智能技術的自動化補丁管理如何為無法通過手動管理的大規模設備庫存提供更好的上下文情報。

五、使用人工智能技術改進設備和機器身份UEM。UEM平臺在利用人工智能技術實現最小化訪問權限時的先進程度各不相同。最先進的UEM平臺現在可以集成并實現企業范圍的微分段、IAM和PAM。上述技術被嵌入安全平臺將大大加快企業對人工智能安全技術的采用，例如Absolute Software的做法是將這些技術嵌入到端點設備的固件中。

機器身份UEM也是如此。通過采用直接的、基于固件的方法來管理基于機器的端點，實現每個端點安全所需的實時操作系統、補丁和應用程序更新，CISO也可以獲得足夠的端點可見性和控制。根據G2 Crowds的眾包評分，Absolute Software的Resilience是業界首個自我修復的零信任平臺，其亮點是資產管理、設備和應用程序控制、端點智能、事件報告和合規性。

此外，Ivanti的自我修復端點方法也值得注意，因為它的UEM平臺方法結合了人工智能、機器學習和機器人技術，可以在全球企業客戶群中大規模提供統一的端點和補丁管理。

其他獲得G2高分的產品包括：CrowdStrike Falcon、VMware Workspace ONE等。

六、人工智能技術將是零信任的核心。由于業務模型和方法各不相同，一千家企業有一千種零信任安全路線圖。零信任網絡訪問(ZTNA)框架需要能夠隨著其支持的業務改變而快速調整和變化。傳統的使用域間控制器和隱式信任的技術堆棧被證明反應太慢，無法響應不斷變化的業務需求。

依靠隱含信任來連接域為攻擊者打開了大門，因此，企業需要的是能夠實時解釋和處理網絡遙測數據的基于云的人工智能安全平臺。

CrowdStrike的Falcon平臺、Ivanti在其產品線中集成AI和ML的方法，以及微軟在Defender365和Azure上開發的人工智能功能，都為我們展示了人工智能驅動的零信任安全的未來方向。

總結：CISO會選擇誰？

Crunchbase中收錄了超過11700家網絡安全公司，其中超過1200家公司宣稱人工智能和機器學習技術是其核心技術堆棧或產品和服務戰略。因此，市面上有超過一千家供應商可以使用人工智能技術或兩者來幫助CISO解決安全問題。

CISO會將目光投向最能幫助整合其技術堆棧的人工智能和機器學習網絡安全供應商，以及能夠在有限資源中提供可度量業務價值的人工智能產品和平臺。

最常見的人工智能安全用例是基于人工智能和機器學習技術的交易欺詐檢測、基于文件的惡意軟件檢測、進程行為分析以及Web網址和聲譽評估。

最后，CISO需要的是能夠有效識別/降低誤報的人工智能系統，提供防護功能的同時提高運營效率和技術可行性。