人工智能和自动化助力网络安全：领导者如何统筹技术和人才以取得成功

IBM商业价值研究院|对标洞察 人工智能和自动化 助力网络安全 领导者如何统筹技术和人才以取得成功 IBM如何提供助力 IBMSecurity致力于运用机器学习和自然语言处理等AI技术来助力安全运营分析师从容应对最新威胁、缩短响应时间以及降低成本。如需了解更多信息，请访问：ibm.com/security/artificial-intelligence 智能和自动化让网络安全团队能 通过减轻日常任务负担，人工最迫够切将需其要稀的缺环专节业。知识应用于 摘要 运营方式已是势在必行 安全事件快速增长，采用全新的安全 AI和自动化有助于提高整个安全运营的可见性和生产力。领先的AI采用者正在监控95%的网络通信，并将事件检测时间缩短了三分之一。 在安全领域的应用日益增长 AI 根据调研，高管已在安全运营中广泛采用AI。93%的受访高管表示已经部署或正在考虑部署AI。 本绩效指标 采用安全AI的领导者正在改进关键成 绩优型组织将其安全投资回报率(ROSI)提高了40%或更多，并将数据泄露成本降低了至少18%，从而腾出资金再投资于其网络安全团队。 快速变革加剧网络风险 现代数字运营一方面在创造价值，但另一方面也会产生新的漏洞。 2021年，网络安全威胁事件大幅增长。美国ColonialPipeline公司和一些水处理设施的系统就遭受了攻击。1根据最近的一项研究报告，从2020年到2021年，勒索软件攻击事件增长了105%，其中制造业是受攻击最多的行业。2在过去的一年中还发生了一些迄今为止影响最大的供应链攻击事件。从SolarWinds漏洞利用、MicrosoftExchangeServer漏洞利用到ApacheLog4j漏洞，各种重大网络攻击事件屡见报端，促使企业领导者及其客户增强警醒意识。3 是什么因素导致了当今形势剧变？ 简而言之，新冠疫情加速了数字化转型，也放大了机遇和风险。4如今，远程工作者的数量大幅增长。云用户和云服务的数量突飞猛进。许多基本系统都与第三方合作伙伴实现了集成。数量庞大的边缘设备正在将物联网数据传输到云端。各种设备互联互通，相互依存，实现高级连通性，创造价值的速度和规模均达到空前水平。 创新一方面创造了效益，但另一方面也是有代价的：新的设备、新的合作伙伴和新的集成大幅扩大了组织的整体受攻击面。各种新的威胁途径也层出不穷—从不知情的供应商到心怀不满的员工，从数据泄露、拒绝服务攻击到勒索软件。更复杂的是，威胁行为体在不断进化其策略、技术和程序，开始运用人工智能(AI)和自动化来探测弱点并发动更有效的攻击（见图1）。5 最终结果是，许多高管都清楚认识到：当今的“不间断”数字化运营一方面在创造价值，但另一方面也会产生新的漏洞。尽管先进技术服务实现了效率提升，但许多组织正逐渐意识到其数字足迹充满了复杂性和未知数。除了形势变幻莫测以外，人手不足的安全团队也在疲于应对来自不同来源的海量数据（但往往缺乏洞察）和各种各样的工具。即使是知识丰富的安全专家，庞大、人才济济的网络安全运营团队，也往往无力应对上述挑战。 针新的对安当全前方的案运势营在现必状行，采用一种全 为了助力团队取得成功，网络安全领导者需要采用一种更加主动式和预防性的安全方案来保护核心业务运营。我们的研究表明，越来越多的组织开始采用前瞻性的威胁管理方法，利用AI驱动的自动化流程来改善洞察力、生产力和规模经济。 AI技术可以通过四种关键方式推动安全转型： –机器学习功能有助于识别模式、盘点新资产和服务以及改进AI模型的性能。 –推理功能有助于为数据分析提供信息、增强场景建模以及预测新的攻击途径。 –自然语言处理可用于挖掘文本数据源、增强威胁情报以及充实知识资源。 –自动化有助于协调时间密集型任务、加快响应速度以及减轻人类安全分析师的负担。 总的来说，这些功能可共同推动安全运营转型。 本报告展示了人工智能与自动化相结合将如何大幅改善速度、洞察力和灵活性。在实现这些绩效改进之后，网络安全团队可以专注于处理真正重要的事项，即主动防范、检测和响应威胁并从中恢复，同时降低成本和复杂性。 图1 安全巅覆者 安全运营团队面临新的挑战 新的和不断扩展的攻击途径 攻击者正在转向自适应、多变体的威胁形式 攻击者开始利用自动化技术 网络技能差距和能力限制 缺乏可见性以及与第三方供应商的协同 缺乏跨不同数据类型（元数据、上下文、行为）的洞察力 来自不同数据源和工具的信息过载 第1章 AI在安全领域中的应用逐渐加速 为了解组织如何运用AI来支持安全运营并量化其对网络安全绩效的影响，IBM商业价值研究院(IBV)与美国生产力和质量中心(APQC)开展合作，对1000位全面负责组织信息技术(IT)与运营技术(OT)网络安全的企业高管进行了调研。这些高管来自全球5个地区的16个行业（参见第32页的“研究和分析方法”）。 我们请求受访高管提供其组织安全部门绩效的相关信息以及他们在多大程度上运用AI和自动化来管理网络风险和合规性。他们还描述了如何运用AI来支持保护和预防流程以及检测和响应流程的安全运营。我们利用这些洞察来评估AI对网络安全绩效的影响，主要包括生产力、弹性和相关业务收益。 总体而言，我们发现全球范围内各个行业的大多数企业正在考虑或正在其安全部门中采用AI和自动化。64%的受访高管表示已在至少一个安全生命周期流程中实施了AI来支持安全功能，而29%的受访高管表示正在考虑实施AI。换句话说，基于AI的安全功能可能很快成为一种近乎普遍的能力（见图2）。其余7%的受访高管表示并不考虑将AI和自动化应用于安全运营，他们正将自己置于危墙之下，非常有可能会无力应对快速增长的安全事件。 图2 广泛采用 只有少数组织未考虑在安全运营中使用AI 93% 的组织正在使用或 考虑使用AI 7% 的组织不考虑使用AI 目前，64%的受访组织正在试用、实施、运营或优化AI安全解决方案。我们将这部分组织称为“AI采用者”。尽管AI在安全领域中的应用仍处于初期阶段（大多数组织应用AI不超过2年时间，也仍在使用传统环境），但预计未来会迅速普及。就AI的具体应用而言，在保护和预防功能中应用AI的AI采用者比例预计在未来三年内平均将增长约40%，而在检测和响应功能中应用AI的AI采用者比例预计也将实现相同的增长。 与其他调研的结果相一致，本次调研预计AI在安全领域的应用也将加速增长。我们近期的研究预测，在2027年之前，与网络安全相关的人工智能支出将保持 24%的复合年增长率。到2027年，这一支出将达到 460亿美元。6 技术和人才发挥积极成效 AI采用者认识到AI驱动的洞察和AI驱动的自动化可为其安全主题专家的专业级识别和响应能力提供有力补充。他们发现，安全AI系统能够有效识别异常行为、动态评估漏洞以及标记异常活动（表示可能存在新威胁），其能力丝毫不亚于经验丰富的安全分析师。65%的AI采用者表示，AI的应用对其安全运营产生了重大积极影响（参见第7页的图3）。但与人类安全分析师不同的是，安全AI可以运用机器学习和自动化来满足混合多云运营对于超高速度和超大规模的要求—其一致性和深度要远远超出顶级资深安全专家的能力。（参见观点：“安全AI为何如此有效？”） 例如，组织可以应用AI来跟踪正常行为以及实现模型构建自动化。为此，AI安全解决方案会标记与预期行为的差异，并分析异常路径的威胁影响。57%的AI采用者认为增强威胁响应以自动遏制威胁以及优化业务连续性可发挥最重大的影响力。通过理解上下文中的异常活动，AI安全解决方案可以确定哪些安全策略和控制存在风险，运用相关洞察作为预警的强力补充，然后启动规范化补救措施。 这种为人类专家充当“网络助手”的方式突显了安全AI最重要的一项优势：减轻面临技能和资源持续短缺的安全团队的压力。60%的AI采用者表示，自动化数据充实和第二屏功能可帮助安全分析师提高运营效率，从而大幅增强安全部门的效能。AI威胁模型可以参考较长时间范围内和各种运行状况下的更多事件，因此可以引入专家级功能来应对让人类分析人员束手无策的威胁。 借助AI生成的洞察，AI驱动的自动化功能可以按用户、设备或位置隔离威胁，然后发出适当通知并启动适当上报措施，并由人类专家来确定最佳调查和补救方案。对于已经开发这些功能的组织，网络安全分析师可以开始专注于真正重要的事项：不断提升技能和专业知识以解决更复杂、只有人类能够做出判断的问题。 观点 安如全此有AI效为？何 为了防御不断扩大的受攻击面以及应对大幅增长的安全事件，安全AI和自动化正迅速成为必备能力。AI为何如此有效？简而言之，这得益于迭代机器学习与分析模型调优的融合。 调优是优化分析模型性能的过程，但不会过度依赖于在不同情形中会发生变化的变量。在后台，机器学习算法运用无数样本来识别模式并学习如何有效响应不同的变量。此训练过程是改进AI模型性能效果的关键。 通过机器学习提高模型精确率和召回率，AI安全解决方案可以有效区分实际安全威胁（真阳性）与普通事件（假阳性和真阴性），从而帮助安全分析师减轻预警疲劳 （见下图）。这些解决方案可以对大多数安全事件进行鉴别分类，利用上下文数据洞察作为这些事件的补充，然后为安全分析师的检查和调查活动提供支持。通过利用AI来提高信噪比，安全分析师可以专注于处理构成最大风险的实际威胁。 有多少检索项具有相关性？ 精确率= 检索到多少相关项？ 召回率= 相关元素 真 阳性 假 阳性 假阴性 真阴性 检索到的元素 信息来源：改编自https://en.wikipedia.org/wiki/F-score 6 人工智能和自动化让安全分析师能够重新关注需要人工判断的复杂问题，从而创造更加充实和丰富的工作环境。 图3 AI的优势 AI采用者利用AI解决方案来支持关键功能，从而改善绩效 AI可以分析非结构化和结构化数据源（利用威胁情报 67% 第1层威胁分类 服务和开源网络情报(OSINT)整合内部和外部数据），因此可以提供情境化变量和情境化威胁的全面画像。对于网络安全分析人员来说，这有助于减少检测、响应和从事件中恢复所需的时间。 通过实现更加高效的上报、审查和补救程序，AI可有效增强安全治理和合规性。通过自动处理耗时的重复性任务，AI可以帮助分析人员减轻疲劳并做出更加合理和明智的决策—速度更快且错误更少。安全AI和自动化解决方案可以分发大量事件，从而让领导者能够充分利用优秀人类分析师的稀缺性技能。这最终将打造一个更加充实、丰富和令人满意的工作环境，从而在吸引和留住稀缺性网络安全人才方面发挥重要影响力。 成功融合AI洞察、自动化与员工专业能力的AI采用者指出，AI应用对其安全成效产生了更加积极的影响（参见图3）。67%的受访高管表示，更有效地对第1层威胁进行鉴别分类有助于消除与基本检测相关的成本和时间。另有65%的受访高管表示，减少误报和噪音减少了人类安全分析师的检测工作量。65%的受访高管表示，应用行为分析可有效支持预测未来威胁，这是提高主动性的重要步骤。 66% 65%检测零日攻击和威胁预减测少误未报来和威噪胁音 61% 60 用相户关行性为与威胁指标的 50 问：以下哪项AI应用对您组织的安全运营具有最大影响力 （选择前5项）？ 7 7 AI投资回报可观 据估计，到2025年，网络犯罪给全球经济造成的损失将达到平均每年10.5万亿美元。7根据PonemonInstitute和IBM发布的《2021年数据泄露成本报告》，数据泄露的年度平均成本达到历史新高水平，同时数据泄露事件的数量迅猛增长了68%，从而进一步增加了这些成本。8 我们的研究结果表明，整个安全生命周期中的初始AI投资正在帮助组织更有效地打击网络犯罪，这一趋势已反映在安全成本绩效指标上。事实上，前25%的AI采用者（各项指标以第25分位或第75分位为界）认为AI和自动化显著改善了三项关键绩效指标，从而大幅改善了其安全部门的绩效和效能。（有关绩优采用者绩效衡量的更多信息