AI 理念助力数字韧性

AI如何引领安全和可观测性的新时代 AI的春天已经来临。 如果说让任何人说出历史上的关键转折点，我们可能会听到很多著名的历史事件。Alexander Graham Bell拨打了世界上的第一通电话。Tim Berners-Lee发明了我们今天所熟知的互联网。SteveJobs发布了第一代iPhone。这些发明从根本上改变了我们沟通、生活和工作的方式。 回顾AI几十年的发展史，我们可以发现，自20世纪50年代中期开始，随着公众兴趣的几次高峰和低谷，AI的发展也经历了几次春天和冬天。OpenAI在2022年底发布的ChatGPT让生成式AI进入公众的视野，标志着另一个终有一天会被载入史册的重要时刻。它的发布让AI带来了又一个春天，我们相信它将深刻影响未来几十年的工业和社会发展进程。 我们从Gartner 2023年新兴技术成熟度曲线看出，生成式AI将达到预期膨胀期的峰值，但我们相信，长期来看，AI实际上被低估了，成熟度曲线只代表了其潜在影响的一小部分。事实上，各种形式的AI将像电力一样在现代生活中无处不在，并在我们的日常生活中成为一种根深蒂固的观念，我们甚至不会去想它，一切就像开灯一样自然。 我们所说的AI是什么意思？ 本文将AI定义为多个学科的超集，包括机器学习、深度学习和生成式AI。 今天的数字环境已经做好充分的准备，可以从生成式AI的强大功能中获益。过去，一个人实际上可以访问一个组织的整个数据集。但是，随着组织在不同混合和多云环境中采用分散架构，我们几乎不可能看到整个环境的所有数据。一些令人困惑的因素（包括不断变化的威胁环境和对数字系统的更严重依赖）会将 IT、工程和安全专业人员卷入一场混乱的漩涡。 人类无法独立处理、管理和监控这种复杂性，这让技术和安全团队倍感压力，资源资金捉襟见肘。在干草堆里找到一根针已经够难了，但现在他们必须在一整片干草地里找到多根针。这时，作为一种极有前途的解决方案，AI粉墨登场。根据CISO报告，86%的CISO认为生成型AI将缓解技能差距和人才短缺。 关于作者： Hao Yang，Splunk AI副总裁 作为人工智能副总裁，Hao领导Splunk的软件工程师和数据科学家团队，加速公司在AI领域的创新。在Splunk供职前，Hao曾在Visa担任人工智能副总裁，并在Google、Nokia和IBM等全球知名公司担任多个 AI 和大数据创新研究和工程领域的职位。 简而言之，我们认为AI是建立数字韧性的一个必要条件。 AI焦虑的解药 虽然AI的前景已经引起了主流关注，但它也面临着严格的审查和不信任，网络安全专业人士尤为关注。我们常说“你无法保护你不知道的东西”，关于AI还有很多有待我们发现的地方。对未知的不适感（这种 AI 焦虑）是一种自然的心理。 我们保证，这并不完全是悲观的看法——事实上，真正的情况绝非如此。AI的未来非常光明，它将是实现数字韧性的一股积极力量。 AI的强大之处在于它可以实现自动化并减少摩擦的能力。虽然这种方法将非常高效，但仍有一些未知的情况。我们将质疑AI的安全性和可靠性，并提出这些问题：我们相信这种方法吗？这种做法准确吗？输出内容是否被污染？ 监管和明确的治理可能会解决目前与AI相关的一些问题。但与此同时，率先使用和开发AI的公司（如Splunk）会帮助组织安全有效地采用AI方案。 以下是我们所知道的：好的方面和坏的方面都可以用到AI，进而为防御者和恶意行为者提供机会。它将催生新的社会工程尝试，增加数据隐私和安全风险，并扩大攻击面，同时团队将深入研究 AI 的发展，并降低网络犯罪的门槛。它还将使IT、工程和安全运营更加快速，更加轻松。 自2015年AI成为一门学科以来，我们不得不回答一些困难的问题：在这个充满不确定性的时代，我们如何保证客户的安全？我们如何依赖AI来增强数字韧性，而不是对其进行打压？ 缺乏透明度也会加剧AI的不确定性。我们用什么证实AI模型做出的决定，为什么？决策制定对于数字韧性来说尤其重要，一个错误的决策可能导致价值数百万美元的停机时间或代价高昂的数据泄露。虽然人类可以很容易地讨论他们决策背后的原因，但完全可解释的 AI 还不存在。同样，人类的偏见也屡见不鲜，但对AI的偏见被嵌入到其算法和训练数据中，因此很难检测。 引领这一AI新时代的公司必须采取深思熟虑的方法来发展它。这就是我们构建AI理念的原因：Splunk对AI的信念永远不会动摇。这些原则将为世界各地的组织提供价值，为我们的长期战略提供依据，最重要的是，推动负责任的 AI 使用和发展。 有了这一理念作为指导思想，我们将继续进行有关 AI 的探索。 –Paul Kurtz，Splunk首席网络安全顾问，领域首席技术官 专门构建的嵌入式AI可以产生最佳的数字韧性结果。 您知道吗，Splunk的创始人Erik Swan和Rob Das是最先尝试治愈癌症的人？虽然他们最初的失败可以归咎于各种原因，但其中一个原因是他们缺乏专业知识。Swan在一次SiliconAngle进行的访谈中说：“我的浏览器中仍然有基因组学研究的书签，我从来没有完整地读过一篇论文。” 特定领域的AI依赖相关的高质量数据，因此，可以提供更有用，更准确的结果。对于安全、IT和工程等专业领域来说，这是至关重要的。 同样重要的是，这些特定于领域的模型能够在现有检测、调查和响应工作流中无缝地工作。目前，这些团队不得不切换到另一个选项卡（或完全切换到另一个应用程序），将他们的提示符输入到 AI 服务中，切换回他们的仪表板并复制粘贴响应，同时还会产生更大的数据暴露和隐私问题。 相反，他们决定解决一个他们通过在前一家公司的经验深刻理解的问题：通过搜索日志来排除IT基础设施故障原因的挑战。他们个人之前曾因这种繁琐的过程而备受煎熬，因此决定让Splunk来解决这个问题。 安全性和可观测性从业人员会让繁琐和低效的工作流折腾的精疲力尽。根据Splunk2023年可观测性现状报告，组织平均运行和维护165个内部开发的业务应用程序。在安全性方面，65%的安全运维中心 (SOC) 团队抱怨在太多不同的工具和管理控制台之间转换，阻碍了全面和及时的调查和响应。在数字韧性方面，每一秒检测或响应时间都很重要。当团队不得不使用多种工具时，他们就会开始开发多种数据源。专门构建的AI能在正确的时间，通过正确的上下文集成到现有的工作流和表面。简单地说，如果这是一种重要的方式，它就可以正确的方式运行。 同样，安全性和可观测性方面的专家应该设计和构建安全性和可观测性领域的AI模型，因为他们具备从实际经验和数据中获得的最佳见解。还应该基于特定用例和环境对模型的数据集进行训练，以提供相关的上下文。为了让AI在数字韧性背景下真正有用，它必须针对特定领域，换句话说，必须为特定目的而专门构建，并紧密嵌入到日常工作流中。 让我们深入研究一下专门构建的AI意味着什么。在大规模数据集上对通用AI大型语言模型 (LLM) 进行训练，使它们对所有事情都有一些了解。但使用通用AI来解决特定问题，就像试图用瑞士军刀建造栅栏，而不是电钻。例如，一般的LLM可以在较为笼统的层面上分析事件，但分析可能不准确或与环境不相关。 人应该坐在驾驶员的位置上，而AI则应是一个值得信赖的副驾驶。 当今的数字战场充满了复杂的环境和攻击方法，存在着很高的风险。要在这一战场中取胜需要只有人类才具备的细微差别。 人们曾经设想，未来，机器会征服整个世界，幻想着卡通片中才有的可以自动驾驶（甚至自动飞行）的汽车、热情洋溢的机器人管家和无忧无虑的太空旅行。但其中一些预测并没有完全变为现实。现有的自动驾驶汽车依赖于在大型数据集上训练的深度学习算法，使车辆能够识别路标、其他车辆和行人，并根据这些智能做出决定。不幸的是，自动驾驶汽车因造成交通堵塞和车祸而成为头条新闻，其中一些事故是致命的。 在情感在军事战略中的作用一文中，Samuel Zilinink教授认为，情感在战争中是有益的，无论是作为一种动机，还是一种操纵手段。特别是蓝方成员，他们必须更有创造力，更有同情心，更有动力去智取对手，因为他们往往会因天衣无缝的战略而占据优势。在任何安全运维中心 (SOC)、工程或IT运营团队中，隐性知识、本能和良好的旧常识都被低估了，AI永远无法取代这些技能。 当今的数字战场充满了复杂的环境和攻击方法，存在着很高的风险。要在这一战场中取胜需要只有人类才具备的细微差别。确定应对事件的正确方式并不总是像了解发生了什么、涉及到谁以及事件发生在哪里这么简单。这个过程需要在一个上下文网络中抽丝剥茧，并剥离逻辑和推理层。研究一个新的勒索软件团伙的威胁策略也需要细微差别和人类的智慧。如果没有现有的参考材料，AI系统将很难跟上不断演变的攻击和事件类型。 在驾驶这样的高风险情况下，我们不应该完全相信机器，让它成为唯一的决策者。无论训练模型有多大，车辆都无法，也不应该理解在捡球的狗和在路上飞奔的松鼠之间做出选择的情感意义。 与之类似的是，一个决策可以对可观测性和安全结果产生很大影响，并对业务产生连锁反应。AI应该与人一起配合，充当副驾驶，快速传递事实，总结事件，并将优先警报带到前端。但人应该始终坐在驾驶员位置上。 人机回圈反馈也有助于建立更负责任的模型，从而提高可信度。在数字韧性问题上，信任至关重要。 开放性和可扩展性将推动AI不断创新。 这是真正的团队协作。我们的产品阵营由内部工程团队、合作伙伴和第三方应用程序共同打造，进而使其更加强大——我们相信构建AI同样是一个协作的过程。客户选择共享聚合和匿名数据时，我们将能够根据他们的实际环境对模型不断进行微调和改进。 强大的AI需要大规模的正确数据。AI已经依赖并产生了大量的数据，随着组织不断训练和运行具有数十亿参数的模型，数据量只会越来越大。构建将为未来20年甚至更长时间提供强大支持的AI模型需要深思熟虑、规划和协作。 开放、可扩展的AI有几个不同的含义。可扩展的AI意味着开发人员、数据科学家和合作伙伴以最适合他们的方式构建，扩展或连接 AI 模型的灵活性。他们可以使用Splunk的专用模型，或者构建他们自己的模型，以匹配他们组织的策略和风险承受能力。 开放、透明的AI还意味着拉开一直笼罩着它的神秘面纱。之所以说这很重要，有以下几个原因。AI在很多方面都很像潘多拉魔盒。除了数据隐私问题之外，AI模型做出决策的方式也很令人费解，随着AI变得越来越智能和普遍，这个问题只会变得越来越扑朔迷离。扩展、创建和调整任何方案都需要对当前框架有一些了解。我们相信，开发人员和数据科学家可以凭借方案工作方式的透明度进一步调整模型并在其基础上进行新的构建。 如果说历史教会了我们什么，那就是人们总是希望我们在他们所在的地方遇见他们。正如混合云和多云不会很快消失一样，调整和适应每个组织的特定需求的希望也不会消失。刻板僵化只会带来限制，阻碍创新。鉴于此，AI系统应该易于集成、定制和扩展——它们应该无缝地适用于已经在可观测性和安全堆栈中的许多不同工具。 这种透明度还可以促进更负责任地使用AI，避免偏见、不实和错误的认知。面向未来需要建立在坚实的基础上，还需要解决问题，这样后期才不会产生问题。 可扩展的 AI 不仅使开发人员能够更快、更容易地构建模型，而且还可以促进社群的发展和协作。正如开源促进了软件开发中的创新一样，我们相信可扩展性是构建可扩展 AI 的基石， 将我们的理念付诸实践，实现数字韧性 为了建设一个更安全、更具韧性的环境，我们的AI战略将专注于三个旨在建立价值和信任的领域，从而为我们的客户实现更好的效果。 发现关键问题，并了解如何解决这些问题。 以惊人的规模支持特有用例。 在工作流中嵌入AI驱动的辅助体验。 我们认识到，安全、IT和工程专业人员终日纠缠于他们环境中的复杂情况，这其中涉及各种攻击方法、数据、工具，还有警报。这就是为什么我们的下一个工作重点是让Splunk对用户更高效、更有效。我们将在适当的时间和地点提供 AI 方案，以减轻