AI赋能的主动防御无疑是未来企业网络安全的应对趋势,但对于大多数企业而言,AI赋能安全听起来不知从何下手。是否需要一下子投入大量资金购买昂贵的AI平台?还是可以从现有的安全工具开始升级?本文打破你的困惑,基于专业的AI赋能主动防御成熟度模型,为你提供一份清晰、可操作的落地路线图。无论你的企业处于哪个阶段,都能找到“小步快跑”的实战路径,最终实现安全体系的“智能免疫”。
人工智能驱动的主动防御的实施是一个系统性持续优化的复杂过程,不可能一蹴而就,应遵循由浅入深、由点到面、由易到难的原则。组织可基于成熟度框架,结合自身实际情况,采用循序渐进建设方法,稳步推进各阶段建设,才能充分发挥人工智能在网络安全领域的潜力,构建坚不可摧的安全防线。
L1:基础探索阶段
基础探索阶段是企业AI安全能力建设的起点,通过引入单点AI能力,建立初步安全数据基础,为后续系统化AI安全建设奠定基础。此阶段重在认知提升、数据准备和单点验证,虽然效果有限但可快速获得价值感知。企业在该阶段处于初步认知AI潜力,缺乏系统规划的状态。
建设目标:通过引入单设备AI能力,提升单点效率:降低特定攻击类型(如已知恶意软件)的误报/漏报。
应用实施重点是通过在特定安全产品(如防病毒软件AV、Web应用防火墙WAF、终端检测与响应EDR)中集成AI检测功能,提升单点防护能力。
L1:基础探索阶段
具体建设步骤:
AI安全基础认知与规划准备:核心是建立团队对AI安全价值的初步共识与宏观理解。组织团队成员了解AI在模式识别、异常检测等方面的基本能力,并明确通过AI辅助降低传统杀毒软件的误报率的初步愿景。
安全数据基础梳理与初步收集:核心是识别并初步建立核心安全日志的集中收集机制。应制定关键安全日志来源清单,如防火墙、终端防护软件(EPP/AV)、Web服务器、认证服务器等,选择集中式日志管理工具,配置关键系统开启并转发重要日志,主要关注从防火墙读取的连接/阻断日志、EPP发送的恶意软件告警,以及认证服务器的登录事件日志。例如,配置服务器发送安全日志(EventID4624/4625登录事件)或防火墙配置Syslog转发。
部署具备内置AI能力的通用安全产品:核心是利用现有成熟产品中自带的AI能力,快速提升特定防护点的效能。应部署内置集成AI能力的特定安全产品,如带有AI威胁检测引擎的下一代防病毒软件(AV),内置AI模块以识别异常Web攻击的WAF,或具备AI行为分析能力的终端检测与响应(EDR)产品,并确保其AI功能已开启。例如,AV产品中的AI会分析终端生成的可疑文件行为或程序执行特征,通过AI识别未知恶意软件家族的变种,从而减少对传统签名库的依赖并降低对合法程序的误报;WAF中的AI则分析Web应用接收到的HTTP/HTTPS请求,识别SQL注入、XSS攻击的变体,减少对静态规则的依赖;EDR中的AI通过对进程行为链的分析,识别无文件攻击、勒索病毒的早期加密行为,提升对新型攻击的检测能力。
完成指标:
- 核心日志源覆盖率:关键日志来源的接入比例(例如,50%的核心防火墙和EPP日志已接入),反映数据基础的初步建设。
- 特定攻击类型误报率降低:针对AV/WAF/EDR等产品中AI功能,其特定攻击类型的误报率是否有初步降低(例如,AV对未知恶意软件的误报率降低5%)。
- AI功能检测率提升:AI功能对特定未知威胁的检出率是否有初步提升。
主要挑战:
- 数据孤岛:安全数据分散在众多系统中,统一收集和管理面临困难,制约了数据基础与治理的提升。
- AI技术认知不足:安全团队成员对AI的基本原理和应用不熟悉,可能导致不切实际的期望或抵触。
- 单点效果不明显:初期AI辅助功能可能效果有限,影响安全效果与业务价值的初步感知。
L2:局部试点阶段
企业已形成AI应用意愿,应聚焦能够快速验证AI价值、数据相对可控且能解决实际痛点的场景,进行小范围针对性验证。
此阶段的建设目标是发现威胁:识别传统方式难以感知的潜在威胁,扩大威胁发现范围。其应用实施的重点是AI行为分析:利用用户与实体行为分析(UEBA)、网络流量分析(NTA)等,识别特定场景(如员工异常行为、特定网络流量异常)的偏离模式。企业应选择小步快跑、精而准的试点场景,避免大而全的陷阱,该阶段的核心是聚焦能够快速验证AI价值、数据相对可控且能解决实际痛点的场景。
L2:局部试点阶段
通常选择的特定场景如:
告警降噪与智能分类场景。针对某一类高频且误报率高的入侵检测系统(IDS)告警,通过导入历史告警数据给AI模型学习,实现AI自动将告警分类为真实攻击或误报,从而减少分析师手动处理量,发挥AI技术应用深度在告警优化上的能力。
快速溯源与知识问答场景。针对异常登录事件,利用AI分析认证日志、VPN日志、用户活动日志,快速关联用户历史行为、登录IP地理位置、时间,辅助分析师判断其风险等级并快速溯源,发挥AI驱动的威胁狩猎与情报的能力。同时,可将内部安全文档和常见问题导入AI进行知识问答训练,提供步骤指导。实现辅助分析师快速判断风险等级并提供溯源线索;如向AI提问如何处理异常登录事件?AI给出步骤指导,初步发挥安全知识图谱的应用。
具体建设步骤:
L2:局部试点阶段
获取特定试点数据并部署专门的行为分析型AI工具:核心是精准数据准备,并引入聚焦行为分析的AI解决方案。应从日志中提取试点场景所需的数据(例如,认证日志、VPN日志和部分用户活动日志用于异常登录检测),并与厂商合作,部署用于行为分析的AI工具或解决方案,例如UEBA模式、NTA模块,或具备高级行为分析能力的EDR平台。接着,针对某个部门或非关键业务系统部署AI工具,并设置参数,明确哪些数据字段对应用户ID、IP地址等。并让AI工具进行基线学习,观察并学习什么是正常行为(例如,张三通常在工作日上午9点到下午6点从公司网络IP登录,外地出差会通过特定VPNIP登录)。
AI告警监测与初步威胁情报验证:核心是验证AI检测的准确性,结合威胁情报进行初步确认。应复核AI工具产生的所有告警,评估其准确性,以验证AI技术应用深度的初步效果。对于AI标记的任何可疑指标(如IP、域名),需手动交叉验证公共威胁情报库来确认其恶意性,初步发挥AI驱动的威胁狩猎与情报的能力。
完成指标:
- 试点场景误报率降低:例如,特定IDS告警的误报率降低15%。
- 试点场景新增威胁发现数量:AI发现传统方法未曾发现的异常(例如,新增3起内部异常登录)。
- 初步威胁溯源效率提升:例如,异常登录事件的初步分析时间缩短10%。
主要挑战:
- 数据质量差距:用于试点的数据可能仍存在不一致或缺失,影响AI准确性,是数据基础与治理的持续挑战。
- 内部系统整合难:获取和连接特定数据到AI工具的集成工作可能遇到困难,影响安全运营流程的顺畅。
- 投资回报(ROI)差距:初期单点试点效果可能不显著,难以有效量化和展现其全部价值,影响安全效果与业务价值的初步评估。
L3:体系融合阶段
企业在该阶段已经完成规划全局AI安全战略,将AI能力赋能威胁检测与响应。
在此阶段,建设目标是提升运营效率:通过自动化和智能辅助,减少人工分析负担,加快事件处理。其应用实施的重点包括安全数据湖/中台构建以统一多源安全数据,为AI模型提供集中化数据支撑;SOAR集成AI,将AI检测结果与安全编排自动化与响应(SOAR)平台集成,实现AI辅助事件分析和部分自动化响应;以及AI驱动的威胁狩猎与情报,基于AI生成的线索,缩短威胁调查时间(TTR)。
L3:体系融合阶段
具体建设步骤:
构建统一数据平台与数据治理体系:核心是实现多源异构安全数据的集中纳管、标准化与治理,为AI能力提供统一数据底座。应首先构建中央安全数据平台与数据治理体系。构建统一的数据平台,配置所有关键安全日志源(防火墙、EDR、AD、DNS、云活动日志等)发送所有相关日志和遥测数据到该数据平台,为安全知识图谱的构建和所有AI能力的数据基础奠定坚实基础。
数据治理,贯穿始终:核心是确保数据质量与合规性,实现数据的标准化与智能化。应制定并采用通用的数据标准和规范,实现不同设备和系统之间的数据格式统一,方便AI进行数据交换和共享。例如,定义统一的源IP、目标IP、事件时间等字段命名和格式,并通过数据质量检查工具定期监控数据质量。同时,数据安全合规至关重要,需建立完善的数据安全管理制度,确保所有收集和用于AI训练的数据在整个生命周期内(采集、存储、处理、分析)的安全性与合规性,例如,对敏感的用户行为数据进行脱敏处理。
整合AI能力与核心安全运营平台集成,实现AI检测结果与SIEM/SOAR的无缝集成,提升事件分析效率,启动初步自动化响应。应将AI分析引擎的输出(如AI生成的告警、风险评分)集成到SIEM系统,以富化现有告警或创建高可信度新告警。确保AI与SOAR平台之间通过API接口顺畅通信。SOAR平台将利用自动化威胁情报富化机制,当SIEM中生成告警时,自动调用威胁情报API,查询告警中的IP、域名、文件哈希等指标,并将查询结果(如该IP为已知恶意IP)附加到告警中,实现初步的威胁情报判断自动化。发挥AI智能威胁预测和智能决策与自动化响应的初期协同。
开发基本的SOAR自动化剧本(结合基线与初步威胁情报):核心是针对常见、高置信度AI告警实现基础的自动化处理。应为AI检测结果创建简单的自动化剧本。例如,若AI检测到某外部IP被威胁情报确认为恶意并尝试扫描端口,SOAR自动调用防火墙API将该IP加入临时黑名单,并创建工单。若AI检测到员工账户出现异常登录(基线偏离),但风险较低,SOAR可自动发送通知给员工确认,并记录事件。发挥AI安全运营流程与自动化的初步提升。
AI驱动的威胁狩猎与情报:应提升威胁狩猎的效率和精准度,配置AI持续分析数据,根据异常行为基线偏离和已整合的威胁情报,生成高风险线索或异常模式集群,提供给威胁狩猎团队。
持续优化:应设定明确的量化指标,与组织的业务目标相关联,清晰地反映AI赋能的价值。如事件响应时间(MTTR/MTTI)缩短率(目标缩短20%)、威胁监测率提升(目标提升10%)、告警降噪率(目标降低30%)以及安全运营成本降低(目标降低5%)。接下来应持续测量效果,可视化展示。企业应持续测量效果并可视化展示上述指标,例如,用饼图展示AI已过滤XX%的误报告警,用折线图展示MTTI从X小时降至Y小时,从而向管理层和业务部门直观展示AI带来的价值。
强调商业价值:通过L2和L3阶段的小而成功的案例,展示AI赋能的巨大潜力,并以此为基础,逐步扩大应用范围,争取更多预算。持续向领导汇报AI如何提高安全运营效率、降低运营成本、提升威胁检测能力、降低安全风险、增强客户信任、提升品牌形象等商业价值。
完成指标:
- 安全数据湖覆盖率:整合关键日志源到数据平台的比例(例如,接入70%的关键日志源)。
- 告警降噪率:AI过滤掉的低价值或误报告警数量比例(例如,降低40%)。
- MTTI缩短率:平均事件调查时间因AI辅助而缩短的比例(例如,缩短25%)。
- 基本自动化率:常规安全任务或初步响应步骤的自动化比例(例如,10%的Level1告警已实现完全自动化)。
主要挑战:
- AI复合型人才稀缺:既懂网络安全又懂AI技术的人才难以招聘和培养,影响组织能力与人才发展。
- AI模型信任问题:安全分析师可能对AI自动化决策的准确性和可靠性存在疑虑,挑战治理、风险与合规(GRC)中对信任的建立。
- 数据治理复杂:跨部门、多源异构数据的整合、清洗和标准化工作量巨大,是数据基础与治理的持续难点。
L4:智能协同阶段
企业在该阶段已实现跨产品、跨领域AI协同,形成全局安全边界。
建设目标是实现威胁预判:提前识别攻击意图,并通过全局协同实现多层次的防御。应用实施的重点包括AI全栈关联分析,对终端、网络、云、应用等多源数据进行AI分析,构建完整攻击链图;AI动态策略调整,根据实时威胁和业务风险动态调整防御策略;以及AI驱动红蓝对抗,利用AI模拟攻击,持续评估并提升防御体系。
L4:智能协同阶段
具体建设步骤:
实现全栈数据整合与高级关联分析:核心是强化基线与威胁情报融合,达到全面、实时的数据覆盖,并利用AI实现跨域数据的高级关联。应将所有IT和OT(工业控制)环境中的相关安全数据源都持续馈送到安全数据湖,例如完整的ActiveDirectory日志、DNS日志(用于可疑域名查询)、EDR遥测数据(进程执行、文件哈希、内存访问)、身份提供商日志(Okta、AzureAD)、应用层日志。随后,实施高级AI模型(如图神经网络),自动关联来自不同安全域的碎片化事件,构建完整的攻击链视图。例如,AI能关联一个异常的邮件附件点击(端点数据)到随后的内部网络扫描(网络数据),再到云端API的异常调用(云数据),从而发现复杂的APT攻击。这些多维度数据用于构建更精准的多维度行为基线,并进行高级威胁情报的融合与推理,提升AI智能威胁预测和行为异常检测的能力。
实施AI驱动的动态安全策略:核心是基于基线异常与威胁情报确认,赋能AI根据实时威胁态势,自动推荐甚至执行安全策略调整。应对AI识别出的高置信度关键威胁(例如,通过行为异常检测发现的勒索病毒行为,或通过深度威胁情报关联确认为国家级攻击),配置SOAR剧本以触发自动化遏制动作。可通过SOAR平台调用API,在网络设备(如防火墙、SDN控制器)上实现网络微隔离;调用EDR平台API隔离受感染主机;或调用身份提供商API实现多因素认证(MFA)。例如,AI检测到某内部服务器出现偏离其正常基线的异常网络流量,且该流量的目标IP被高级威胁情报确认为某个活跃APT组织的C2服务器。AI会立即推荐/自动执行将该服务器微隔离到仅允许必要通信的区域,或临时收紧相关用户的访问权限。
开展主动式AI驱动的威胁狩猎与情报:核心是融合基线与威胁情报洞察,利用AI更深入地发现潜伏威胁,并从狩猎中反哺情报。应配置AI在海量数据中识别微妙的异常行为和潜在攻击指标,融合复杂行为基线偏离和深度关联的威胁情报。AI会提供优先级高的狩猎线索(例如,用户A在非工作时间访问了敏感数据,其设备还与一个最新威胁情报中提及的恶意域名进行了通信-可能存在内部威胁与外部攻击的融合),并富化上下文信息。同时,应开展AI驱动的红队演练,部署AI驱动的模糊测试工具用于发现应用程序漏洞,或自动化渗透测试框架利用AI探索攻击路径,并配置AI生成新型攻击模式或对抗样本,用于测试AI防御系统对变异威胁的响应能力和韧性,提升AI自身防御和AI驱动的威胁狩猎与情报的实战能力。
完成指标:
- 检测威胁的平均时间:AI在威胁造成损害前预测或检测威胁的平均时间(例如,将检测时间从48小时缩短到2小时),体现安全效果与业务价值的提升。
- 跨域威胁关联率:安全运营流程与自动化的协同效率。
- 动态策略调整速度:AI推荐/部署安全策略的速度(例如,策略更新速度提升5倍)。
- 威胁狩猎效率:APT发现率提升(例如,APT发现率提升20%)。
主要挑战:
- AI模型管理复杂性:协调和维护众多相互关联的AI模型极具挑战性。
- AI伦理与合规挑战:确保AI决策的透明度、可解释性和责任归属,避免潜在伦理风险。
- 对抗性AI风险:如何提升自身AI防御系统对攻击者利用AI发起更复杂攻击的鲁棒性。
L5:主动免疫阶段
此阶段是AI赋能主动防御的最高境界,企业已实现AI驱动安全治理,体系持续自适应,自我进化。
建设目标是构建智能韧性:实现安全体系的自适应、自我优化和预测性防御。
应用实施的重点包括AI赋能安全治理,驱动动态评估、安全策略优化和决策支持;AI持续学习与进化,利用对抗性学习自动适应新型威胁;以及AI驱动自主编排,实现安全策略自动生成与执行,系统自我实现修复。
L5:主动免疫阶段
具体建设步骤:
企业应实现AI驱动的战略洞察与治理。包括实施AI驱动的风险评估工具,通过关联脆弱性扫描、实时威胁情报(包括AI自身从异常行为和对抗性模拟中生成的情报)、资产关键度等,持续分析企业风险态势,为战略决策提供依据。AI还将分析安全开支效率,并推荐最佳资源分配方案,以符合COBIT的治理原则。AI还能进行预测性合规审计,主动识别潜在合规漏洞并建议纠正措施。
实现AI驱动的战略洞察与治理:核心是将AI应用于最高层级的安全战略规划与决策支持。应利用AI驱动的风险评估工具,通过关联脆弱性扫描、实时威胁情报(包括AI自身从异常行为和对抗性模拟中生成的情报)、资产关键度等,持续分析企业风险态势,为战略决策提供依据。利用AI分析安全开支效率,并推荐最佳资源分配方案,进行合规审计,主动识别潜在合规漏洞并建议纠正措施。提升AI赋能治理、风险与合规(GRC)能力。
实现高度自治的安全运营:核心是结合基线与威胁情报驱动,自动化管理整个事件响应生命周期,实现策略的自主生成与部署。应配置AI管理整个事件响应生命周期,从检测、分析(由基线和威胁情报驱动)到遏制、清除和恢复,安全专家主要负责高风险场景的最终验证。如当AI检测到复杂的勒索软件变种(基于对新型行为的理解和威胁情报更新),能够自主识别受感染主机、通过网络微隔离进行遏制、收集取证数据、分析恶意软件特征、生成修复建议,并自动化部署补丁到未受感染系统,整个过程无需人工干预。并实施生成自主策略,利用AI创建优化的安全策略,以响应新兴威胁或业务需求变化(由AI对最新威胁情报和内部行为基线变化的理解驱动),实现防御态势的持续自适应。同时,强调商业价值,通过L2和L3阶段的小而成功的案例,展示AI赋能的巨大潜力,并以此为基础,逐步扩大应用范围,争取更多预算。持续向领导汇报提高安全运营效率、降低运营成本、提升威胁检测能力、降低安全风险、增强客户信任、提升品牌形象等商业价值。
实现自我修复与韧性增强:核心是赋予系统自我发现问题并自动修复的能力。通过部署AI驱动的漏洞管理解决方案,当AI识别出潜在弱点(如配置错误、未打补丁)时,能够自动启动补丁部署或配置变更。应配置AI系统自动学习并适应全新的攻击模式(通过实时调整基线和防御策略),展现真正的免疫系统行为,并利用AI辅助大型安全事件后的快速自动化恢复,优化恢复顺序并验证数据完整性,提升AI自身防御的能力。
持续进行高级对抗性测试(AI生成威胁情报):核心是形成AI驱动的攻防闭环,并具备生成高质量威胁情报的能力。应开展AI驱动的红队自动化测试,持续进行自主渗透测试,模拟高级攻击技术,例如AI生成新的漏洞利用变体。并且,利用AI安全系统消费外部威胁情报,并根据观察到的内部异常行为、自身对抗性模拟结果,生成新的、可操作的威胁情报,并将其反馈到防御体系和更广泛的威胁情报社区,提升AI驱动的威胁狩猎与情报生产能力。
完成指标:
- 自主修复率:AI无需人工干预自动修复漏洞或威胁的比例。
- 业务连续性韧性评分:模拟或实际攻击期间业务功能稳定性和正常运行时间的量化指标。
- 自适应防御有效性:AI防御系统在面对此前未见攻击模式时的误报率/漏报率和检测率。
- 安全投资优化率:通过AI实现的安全投入效率提升和成本降低的量化指标。
主要挑战:
- AI责任划分:明确AI自主决策可能带来的法律、伦理和道德责任,是治理、风险与合规(GRC)的终极挑战。
- AI系统安全评估:确保高度自主的AI系统自身不被攻击或滥用。
- 平衡成本与复杂性:管理AI赋能带来的高昂投入和系统复杂性,考验着AI技术应用深度的管理能力。
实施常见问题与建议
目前各组织正积极利用AI构建主动安全防御,但是国内企业实际实施过程中,仍会常遇到这种挑战和困惑。本节将针对这些常见问题,从操作方面提出具体建议。针对这些挑战,安全牛2025年调研企业用户和厂商访谈,汇总了以下常见问题和建议:
1、企业现在是否应该建设大而全的AI安全应用平台
企业在建设过程中,经常会遇到一个误区,认为一定要建设一个庞大的、无所不能的AI安全应用平台,才能实现安全的智能化主动防御。然而,由于当前AI技术并不成熟,这种大而全的思路,往往会导致项目周期长、投入大、效果不明显,甚至可能项目失败。根据安全牛访谈,在实际项目中,更精细的场景下可以解决AI的误报等问题,快速体现AI的价值,建议AI安全应用平台不应追求大而全,应该小步快跑,精而准地快速实现急需解决的特定精细场景。
安全牛分析与建议:
AI赋能主动防御的价值,智能化的AI安全应用平台建设应该小步快跑,不应追求大而全,而是应体现精而准。简单来说,就是从最容易上手、能够快速产生价值的场景入手,逐步推进平台建设。这种方法的核心思想是:择那这些能够快速解决实际问题、提升安全运营效率的场景,各地着手,逐步扩大应用范围,避免一口吃个胖子再通过不断的反馈和优化,不断提升AI在安全运营中的应用效果。比如知识问答、某类安全事件的溯源和自动化响应。
2、在AI安全应用平台建设过程中会面临哪些数据治理的挑战
在AI安全应用平台建设的道路上,首先会遇到一个巨大的挑战-数据治理。数据是平台的基础,没有高质量的数据,自动化、智能化的安全运营就类似于空中楼阁。并且数据治理问题在现实中,往往比想象的要复杂,经常会遇到以下数据挑战:
数据孤岛问题:组织内部通常配置来自不同厂商、不同型号的安全设备,这些设备产生的数据格式各不相同,彼此之间缺乏互通性,形成一个数据孤岛。
数据质量问题:安全设备产生的数据可能存在错误、缺失、重复等问题,这些质量低的数据会严重影响人工智能的分析和判断,导致误报、漏报等情况。
数据量爆炸问题:随着安全设备的普及和网络流量的增长,安全数据量呈爆炸式增长。如何高效存储、处理和分析海量数据,成为亟待解决的问题。
数据合规性问题:数据通常包含敏感信息,如用户信息、业务数据等。在数据采集、存储、处理和分析过程中,应注意利用匿名、混淆等技术进行处理。
安全牛分析与建议:
因为组织往往忽视在规划阶段对明确数据需求的重要性。没有明确的目标,无法预知为什么需要哪些数据,也无法选择合适的设备,到建设后期才发现数据中断,往往为时已晚,成本高昂。数据是平台的基石。只有打好数据基础,才能充分发挥AI的潜力,让安全运营真正智能起来。企业应规划先行,目标明确:在AI安全应用平台建设之初,需充分了解自身的风险状况和业务需求,明确需要哪些数据来支撑安全运营。例如:若需进行用户行为分析,则需要设备能够提供详细的用户日志,若需进行流量分析,则需要设备能够提供全面的网络流量数据。
设备选型、数据匹配:在选择安全设备时,不仅要关注其功能,更要关注其数据输出能力,确保能够提供所需的数据。可以要求设备厂商提供详细的数据字典,了解其数据格式和内容。
分阶段数据整合与标准化:不要试图一步步完成所有数据的整合。建议从核心业务系统和高价值安全日志开始,逐步将日志、流量、终端数据等整合到统一的安全数据库或安全数据中台。优先进行数据的标准化和归一化处理,统一数据模型。
应用隐私计算技术:对于涉及个人信息和敏感业务数据,应优先采用数据脱敏、匿名化或假名化处理。积极探索和应用联邦学习、差分隐私、同态加密等隐私计算技术,以在保护隐私的前提下实现数据价值的最大化,满足严格的合规要求。
重视数据标注与反馈:建立数据标注规范和流程,形成持续收集高质量的威胁样本和正常行为数据进行标注。同时,将AI模型输出的分析结果与人工复核结果闭环,持续反馈以优化数据质量和模型性能。
3、融合困惑:烟囱效应、与现有体系冲突
AI能力往往以独立产品或模块的形式存在,难以与企业现有的SIEM、EDR、防火墙、身份管理等系统有效联动,导致新的安全孤岛,反而增加了威胁检测与响应的复杂性。
安全牛分析与建议:
构建统一的威胁检测与响应平台:采用平台化思维,将AI能力作为平台的核心组件或智能层,而不是独立的产品。提供统一的数据接口、API和事件接口,实现各安全产品的数据共享和能力协同。将是打破通报效应的根本途径。
推动标准化接口与协议:鼓励和推广使用通用接口标准(如OpenC2、STIX/TAXII)和开放API,促进不同安全产品和AI模型之间的数据互通和指令联动,确保可插拔性和互操作性。
优化安全流程与工作流程:明确AI在安全事件处理流程中的角色(如辅助分析、风险建议、自动化执行)。对现有安全流程进行梳理和优化,确保AI能够无缝适应事件响应、威胁狩猎等工作流程,实现人机协同的无缝衔接,避免重复或冲突。
强调能力而非产品:在规划AI安全建设时,企业应重点构建AI赋能的威胁捕获能力、自动化响应能力、风险管理能力,而不是简单地堆砌AI安全产品。有助于从设计方面集成避免陷入困境。
4、企业应选择本地还是云端的AI部署模式?
企业在建设AI安全应用平台时,面临的一个关键决策是选择哪种部署模式:本地部署、云端或混合模式。不同的部署模式各有优劣。
本地部署模式:
本地部署可以更好地满足其对数据安全、隐私保护和自主可控的要求,并能够更灵活地进行定制化开发和集成。大型组织通常拥有庞大而复杂的自主IT基础设施、完善的安全运营体系和专业的安全团队,面临复杂的安全威胁和严格的合规要求,安全预算相对充裕,对数据安全和可控性有更高的要求。建议对于具备以上特点的大型组织,本地部署可以更好地满足其对数据安全、隐私保护和自主可控的要求,并能够更灵活地进行定制化开发和集成。但是注意,本地部署平台的前期投入,需要专业的团队进行建设和运维。
云端模式:
云端模式可以降低平台的建设和运维成本,并提供专业级的安全运营服务,中小型组织的特点是IT基础设施相对简单,安全团队规模有限或缺乏,安全预算有限,对安全运营的专业性要求较高,但自身难以满足。建议中小型组织选择云端的平台通常是更经济、更高效的选择,可以使中小型组织也能够享受到先进的安全防护能力。
混合模式(本地+云):
混合模式结合本地部署和SaaS模式的优点,可以根据不同的业务需求和安全需求,将不同的安全功能部署在本地或云端。建议对于一些大型组织,可以考虑采用混合模式。可以将核心的安全数据和安全功能部署在本地,将一些非核心的安全功能部署在云端,或者将云端作为本地平台的补充和扩展。
安全牛分析与建议:
企业在选择平台部署模式时,需要综合考虑并根据自身的实际情况做出最佳选择,包括:
专业的安全运营团队。自建平台需要专业的安全团队进行建设、运维和管理。如果企业缺乏专业的安全团队,云端的平台或托管安全服务(MSSP)可能是更合适的选择。
IT基础设施和安全体系。企业要考虑IT基础设施的规模和复杂程度,平台需要与现有的IT基础设施进行集成。如果IT基础设施庞大而复杂,本地自建平台的负载和成本会更高。并且平台需要与现有的安全设备和系统进行联动。如果企业缺乏基本的安全设备和能力,平台可能无法有效地工作。
数据安全性和合规性。对于数据安全和隐私保护有要求的企业(例如金融、医疗等行业),可能更倾向于本地自建平台,以保证数据的安全和可控。
预算和成本。本地自建平台的前期投入较多,包括硬件、软件、人力等方面的投入。SaaS化的平台通常采用订阅模式,前期投入较低,但长期成本需要综合考虑。
定制化和灵活需求。不同的企业面临不同的安全需求和合规需求,本地自建平台可以提供更高的定制化和灵活性,但需要更强的技术实力。云端的平台提供的功能通常是标准化的,定制化能力有限。并且本地自建通常更容易实现与其他内部系统进行深度集成。
5、如何转变思路,从而获得高层领导的支持?
在平台建设过程中,经常会遇到这样的挑战:如何让领导充分了解平台的价值,并持续投入经费?毕竟建设需要资金的支持。如果无法证明平台的价值,就很难获得领导的支持。要解决这个问题,需要转变思路,从技术驱动转变为价值驱动,用数据说话,用事实证明平台能够为组织带来真正的价值。
安全牛分析与建议:
领导关注的不是技术本身,而是技术能够带来的价值。用数据和事实,赢得领导的信任和支持:
明确指标量化:在AI安全应用平台建设之初,需要设定明确的量化指标,如事件响应时间、威胁监测率、运营成本降低等。这些指标应该与组织的业务目标相关联,能够清晰地反映平台的价值。
持续测量效果:通过持续测量和分析,可以了解平台的实际效果,并及时调整优化。可以定期发布平台的运营报告,向领导展示其成果和价值。
可视化展示:将量化指标和分析结果以可视化的方式呈现,一目了然地了解平台的价值。可以采用图表、仪表盘等方式,直观地展示平台的运营情况。
从点着手,逐步扩大:通过一个小而成功的案例,展示平台的潜力,并以此为基础,逐步扩大应用范围,争取更多预算。可以选择一些容易量化和展示的场景,如知识问答、事件溯源等。
强调商业价值:不仅要强调平台的技术优势,更要强调其商业价值。例如:平台可以提高安全运营效率,降低运营成本;可以提升威胁检测能力,降低安全风险;可以增强客户信任,提升品牌形象。
构建安全运营成熟度模型:使用该模型来简化组织在流程、技术和人员方面的成熟度。通过评估模型显示持续性的改进,对于获得更多的预算和保持持续性改进至关重要。
6、复合型人才稀缺、运维缺口
问题描述:市场上既懂网络安全攻防又懂AI技术(如机器学习、深度学习)的复合型人才极度稀缺。现有安全团队可能难以有效部署、调优、运维AI模型,也无法充分利用AI的分析结果。
安全牛分析与建议:
内部培养与外部引进结合:鼓励现有安全成员学习AI基础知识,提供相关的培训课程和认证机会,提升其AI素养团队。同时,逐步引进具有AI背景的安全数据科学家、AI安全工程师或AI算法工程师,补充核心技术力量。
构建人机协同的工作模式:强调AI是安全分析师的助手,将AI擅长的重复性、高强度数据分析和模式识别任务替换AI,让人工专注于高价值的研判、复杂事件分析、威胁和策略优化。通过持续的实践培养分析师与AI协同的能力。
依赖厂商服务与生态合作:针对自身AI能力不足的企业,中小企业可提供完整的AI解决方案和托管运营服务,逐步培养内部团队。积极参与行业交流和生态合作,获取成功经验,获取技术支持和人才资源。
注重运营自动化与模型管理:利用自动化运维工具进行AI模型的部署、监控、更新和性能调优,降低日常运维复杂度。建立AI模型生命周期管理(MLOps)流程,保证模型的持续学习、版本控制和性能管理。
