分析師、使用者和廠商眼中的AI威脅檢測
在軟體公司Darktrace執行長 Nicole Eagan 看來,10個網路安全專家裡有8個不會將人工智慧(AI)作為威脅檢測關鍵部件。剩下2個不是“完全拒絕”就是最多“嘗試一下”,反正不會花精力充分開發這項技術。
誠然,資訊保安專家都是傾向於規避風險的,也就造成了他們有時候會不願嘗試新技術,而且理由非常充分:幫公司抵禦風險才是他們的首要任務。但是,理論上而言,AI是有潛力幫安全團隊更快發現大量問題的。於是,到底是為什麼,不是每個安全團隊都願意使用AI呢?
研究公司KuppingerCole高階分析師 Mike Small 認為,其實很多公司都在用AI檢測威脅,只是他們可能沒覺得那是AI。相比傳統防毒軟體,Darktrace及其競爭者,比如Senseon和SecBI,是在更高層次上執行威脅檢測。某種程度上講,它們做的事不是全然的創新。威脅檢測AI的核心是行為分析的高階形式,本質上還是查詢模式以識別潛在威脅和漏洞。所有大型網路安全平臺,比如賽門鐵克和邁克菲,都有此類技術產品。
團隊購買技術是為了其輸出,而不是為了技術本身。大型工具中內建的行為匹配功能效果已然不錯:福布斯去年報道稱,邁克菲年收益超25億美元,而Darktrace銷售額達4億美元。
雖然期待專用行業工具銷量比肩家用平臺不太現實,但統計結果顯示:在威脅檢測領域,獨立AI並未佔領市場。真正的絆腳石是什麼?不同身份的人給出的答案差異很大。
供應商觀點:抗拒改變的心理拖慢了威脅檢測AI的採納
去年12月5日的紐約AI峰會上,Eagan談到了抗拒改變的心理:網路安全行業形成已30年了,因此,習慣於特定工具、方法和過程的技術人員不在少數。
不過,開放性思維和好奇心卻無關年齡,尋求突破和嘗試新技術的人自然會去擁抱威脅檢測AI。
分析師視角:威脅檢測AI難以解釋
Small稱,當今市場上的獨立威脅檢測AI解決不了目前的資訊保安問題。就拿安全中心做例子:AI好似黑盒,涉及被標記事件是否真實的問題(是否誤報),它給出的答案要麼是對的要麼是錯的,但你根本不知道為什麼會錯。
除了不知道為什麼會誤報,網路安全人員還無法向媒體解釋他們在面對資料洩露事件時的決策。在資料安全訴訟越來越多的時代,這一限制讓安全人員更難以在法庭上為自己的決策辯護。
買家感受:無法應對威脅檢測AI輸出的額外資料
人力資源公司Scout技術與資訊保安總監Gauthier對媒體報道和訴訟倒是不太擔心。他沒買威脅檢測AI技術是因為Scout沒有足夠的人力來充分利用該技術。
我們是個小公司。這種流行AI威脅防護平臺,或者說現下看起來很熱門的大量威脅情報饋送,全都是給你推送更多資訊的。但這些資訊某種程度上是第二層資訊。我們真是沒有足夠的人手來處理這些看起來非常真實非常可操作的重大威脅。
雖然威脅檢測AI確實比綜合性平臺要高效,但出於成本效益考慮,如果還要為這額外的資料付費,如果無法就其情報採取行動,那就不能從中得到價值。監視AI的輸出需要一定的人力,公司規模太小是負擔不起這額外的人力成本的。
對此,軟體公司Darktrace執行長Eagan表示同意。該公司成立之初就討論過市場定位問題:如果只能將產品賣給可以聘用資料科學家的大型企業,那自身市場範圍就會受限。因此,他們對開發人員說:
我們產品應該能自學習、自維護,這樣我們的客戶就不用額外招聘人員了。客戶不願意聘用更多安全人員。
威脅檢測AI必須提供洞見,而不僅僅是資訊
現在的AI僅僅提供資訊,還需要安全人員梳理出其中含義。如果威脅檢測把自己限制在當前的行為分析方法中,不求突破,那就永遠無法提供安全團隊真正想要的功能,採納率也無法提高。
AI供應商應考慮技術升級:解釋為什麼某個威脅是真警報。這事兒說起來容易做起來難,目前也就 IBM QRadar Advisor 正在研究。事件背後要解釋的因素太複雜了——發生了什麼?是否完全平息了?有沒有波及他人?問題點在哪兒?如此有洞察力的AI肯定很難構建,但只要構建出來,一定很容易賣出去。