網絡安全領域處理AI決策的四種方式

時至今日，企業面臨的網絡攻擊規模意味著，自治系統已經成為網絡安全的重要組成部分。我們不得不思考安全團隊與人工智能（AI）之間的理想關系到底應該是什么樣子：應該為AI程序賦予何種程度的信任？安全團隊何時介入AI決策？

網絡安全領域引入自治系統后，操作人員的決策門檻就能隨之提高了。他們不再親自做出數量多到難以應付的“微決策”，而是制定一系列約束和指南，供AI機器大規模做出數百萬細粒度微決策時遵守。于是，工作人員不再在微觀層面上管理，而是轉到宏觀層面上：其日常任務變得更加高級、更具戰略性，只有最重要的輸入或操作請求才需要人員介入。

但是，人類和AI之間的關系將變成什么樣子呢？下面我們剖析《哈佛商業評論》概述的四種情況，解析人機交互的各種可能性，并探討在網絡領域中又會是何種景象。

人在環內（HitL）

這種情況實際上是人類在做決策，而機器只是提供操作建議，以及這些決策背后的上下文和支持性證據，供操作人員縮短動作和起效的時間。

在這種情況下，安全團隊對機器如何動作或不動作享有完全的自主權。

這種方式想要長期有效，足夠的人力資源是必須的。·而通常情況下，企業的實際情況遠遠滿足不了這個需求。不過，對于想要掌握這項技術的企業而言，這一階段是建立對AI自主響應引擎信任的重要途徑。

例外情況下人在環內（HitLfE）

這種模式下，絕大多數決策都是自主做出的，人類只處理例外情況，即AI在做出決策前請求人類給出一些判斷或輸入。

人類控制著決定要標記哪些例外供審查的邏輯，而隨著數字系統越來越多樣化和定制化，還可以為不同需求和用例設置不同級別的自主權。

這意味著，大多數事件都將由AI驅動的自治響應即時自主操作，但企業在特殊情況下“在環內”，享有決定這些特殊情況何時何處出現的靈活性。他們可以在必要的時候干預，但希望在未經仔細審查時謹慎否決或拒絕AI建議的操作。

人在環上（HotL）

這種情況下，機器采取所有操作，而操作人員可以審核這些操作的結果，了解圍繞這些操作的上下文。如果遇到緊急安全事件，這種安排下AI可以控制攻擊，同時通知操作人員有設備或賬戶需要支持，此時也就是操作人員下場解決事件的時候了。或許還會需要其他的取證工作，而如果多處出現入侵，AI可能會升級或擴大其響應。

對很多人而言，這就代表了最佳的安全安排。考慮到數據的復雜性和需做決策的規模，每個事件和每個潛在漏洞都需要人員干預是不現實的。

而在這種安排下，人類依然保有對系統操作的時間、位置和程度的完全控制，但在事件確實發生時，這數百萬個微決策就留給機器來做了。

人在環外（HootL）

在這種模式下，每個決策都由機器來做出，連改進過程也是個自動化的閉環。這就形成了一個自我修復、自我改進的反饋環路，AI的每個組件都饋送給下一個組件并加以改進，從而提升最佳安全狀態。

這代表了最終完全放手的安全方法。安全操作人員不會想要自治系統成為“黑箱”——完全獨立運行，安全團隊甚至無法查看其所采取的動作或了解其如此動作的原因。即使有人確信自己永遠無需干預系統，他們仍會想要監督的。因此，隨著自制系統的逐漸完善，強調透明度就顯得愈發重要了。這也是近期可解釋人工智能（XAI）發展的一個推動因素。XAI采用自然語言處理來向操作人員解釋，以基本日常用語闡述機器采取那些操作的原因。

這四種模式都有各自獨特的用例，所以無論公司安全成熟度如何，CISO和安全團隊都可以放心利用系統的建議，因為他們知道這些建議和決策都是基于無數微觀分析做出的，這些微觀分析的規模遠遠超出任何個人或團隊在可用時間內所能做出的。這樣一來，任何類型和規模的企業，就都能以適合自己的方式對任何用例或業務需求采用AI決策，同時自主檢測和響應網絡攻擊，防止其造成中斷或破壞。