扫一扫
关注微信公众号

为何砸了重金部署的安全AI,还是防不住黑客,反而误报连连?
2026-07-13   企业网D1Net

  安全领袖们一直在进行一场支出冲刺,全球网络安全AI市场在2026年已达到440亿美元,并预计在2034年达到2130亿美元,这一发展轨迹反映出一种真实的信念:机器学习将弥合威胁数量与人类分析师处理能力之间的差距,这种信念并没有错,错的是大多数企业在工具失效时所关注的焦点。

  当AI驱动的检测表现不佳时,人们的本能反应是调整算法、重新训练模型,或者敦促供应商提供更好的产品,但在大多数情况下,真正的罪魁祸首存在于上游的数据管道中,远在任何模型接触到事件之前。零散的遥测数据、不一致的模式以及陈旧的行为基线,正在悄然降低整个企业内AI安全系统的性能。不解决数据问题而只去修复算法,就像在输入物不断变化的同时去重新校准天平。

  数据层面上无人提及的工具蔓延问题

  大多数大型企业处理的并不是干净、统一的安全数据,而是几十年来不断累积的基础设施决策成果。研究表明,平均每家企业运行着来自29个不同供应商的83种安全产品,SOC(安全运营中心)团队每天要接收近3000个告警,其中63%未得到处理,这些工具中的每一个都会以自己的格式生成遥测数据,并带有自己的字段命名规范、时间戳标准和元数据模式。

  人类分析师能够培养出应对这种不一致性的直觉,但机器学习模型做不到。如果一个旨在关联身份平台、终端代理和云访问仲裁器之间认证事件的行为检测模型,看到这三个工具将同一个字段命名为三个不同的名称,它就会产生不可靠的结果。模型本身没有坏,它只是被喂入了结构上不连贯的数据,并被要求在噪音中寻找规律。

  模式漂移的真实代价

  这正是问题变得隐蔽且昂贵的地方,模式漂移(即安全管道中的数据格式随着时间的推移而发生的渐进式演变)很少会触发告警。当供应商推送更新时,日志格式会发生变化,新的遥测源会增加以前不存在的字段,身份平台在重命名属性时也不会通知安全工程团队。几个月过去后,训练行为检测模型所依据的统计模式,已经与这些模型在生产环境中接收到的数据不再匹配。

  其下游影响正是大多数CISO(首席信息安全官)已经在经历的:误报率飙升、分析师疲劳,以及只有在安全事件发生后才暴露出来的检测盲区。大多数安全领袖没有意识到的是,这些症状的根源在于数据层,而不是算法层。Gartner预测,到2026年,企业将因数据质量不足而放弃60%的AI项目,这种模式在安全运营中的表现比其他任何地方都更为明显。

  陈旧的基线是攻击者的优势

  数据新鲜度问题作为一种安全风险尚未得到足够重视,行为AI模型是根据历史活动建立基线的。在快速变化的企业环境中,这些基线过期的速度比大多数安全团队意识到的还要快。

  向混合办公的转变彻底改变了访问模式,云原生技术的采用改变了用户交互的资源以及交互时间,兼并与收购引入了具有完全不同行为特征的新用户群体。当AI模型根据已经不存在的员工架构和基础设施所建立的基线来评估今天的活动时,结果是可想而知的:合法的访问触发了异常告警,而研究过基线模式的高明攻击者则能精准地混入其中,这恰恰是因为模型的假设未能跟上环境的变化。

  IBM关于数据质量成本的研究表明,数据质量低下给每家企业造成的平均年损失达1290万美元。在安全语境下,这个数字还没有将因糟糕的数据架构导致检测失败后,所产生的事件响应成本、合规风险或声誉损失计算在内。

  让问题根深蒂固的组织架构断层

  这个问题之所以长期存在,是因为结构性原因。数据管道通常由数据或基础设施工程团队管理,检测模型由SOC分析师或威胁情报团队掌控,而夹在这两个职能之间的AI系统往往不属于任何一方。当检测质量下降时,安全团队会调整参数,工程团队则专注于管道的成本和可用性。没有人对流经系统的数据的分析一致性负责,因为没有人的职责描述涵盖了这一特定盲区。

  这首先是一个领导力问题,其次才是技术问题。希望AI安全工具能够达到预期效果的CISO,需要消除这一职责断层,并以对待其他业务关键数据资产的严谨态度来对待安全遥测数据。

  安全领袖的三个当务之急

  解决这个问题并不需要更换平台或进行耗时多年的转型项目,而是需要对以下三个领域进行针对性的投入:

  1. 统一整个安全栈的遥测模式,统一的模式(即使不完美)能为机器学习模型提供一致的基础,为常用字段建立命名规范,规范化时间戳格式,并在供应商无法合规时记录偏差,这绝非一劳永逸的项目,而是需要持续的治理。

  2. 在每个接入管道中构建数据质量监控, 在任何事件到达机器学习系统之前,对其进行缺失字段、时间戳异常和模式偏差的验证。在接入端捕获数据漂移,其成本远低于在真实事件发生后或攻击者已经完成横向移动后去诊断检测故障。

  3. 将治理规范应用到安全数据中,而不仅是业务数据。血缘追踪、验证规则和版本控制的模式同样应该存在于安全管道中,就像它们存在于财务报告管道中一样。安全遥测数据是一项关键的业务资产,应进行相应的管理。

  您的工具栈中由AI驱动的安全工具完全有能力应对现代威胁并展现出真正的价值,但这种能力完全取决于流入其中的数据的质量、一致性和新鲜度。在您的企业为模型微调或平台升级投入下一笔资金之前,请先提出一个更困难也更有效的问题:上一次有人审计这些模型所依赖的数据管道,是什么时候?

热词搜索:安全 AI 黑客

上一篇:网络安全:2026 年最常见的五种攻击方式
下一篇:最后一页

分享到: 收藏