作者：來自 Elastic?Elastic Security Team

安全領域的 AI 采用：主要用例和需避免的錯誤

人工智能（artificial intelligence?- AI）在安全領域的廣泛應用呈現出一種矛盾。一方面，它幫助安全專家大規模應對高級威脅；另一方面，AI 也助長了對手威脅活動的復雜程度。

為了以火攻火，組織越來越多地自動化安全流程，以彌補自身所處的不平等競爭環境。在這種情況下，網絡安全中的 AI 是從被動防御轉向主動保護的必要手段。然而，AI 的采用也面臨挑戰和需考慮的問題。

本文探討了 AI 如何改變安全運營，帶來的主要高價值用例，以及在將 AI 引入安全運營中心（security operations center?- SOC）時需避免的關鍵錯誤。

AI 如何改變網絡安全

AI 擅長識別模式，從海量數據中學習，并基于學習做出預測或決策。結合機器學習（machine learning?- ML）技術，AI 使得大規模高級數據分析成為可能。

對于面對不斷擴大的攻擊面和高級威脅的安全專業人員，AI 有助于增強威脅檢測、自動化并加速事件響應、提高警報的準確性和真實性。它對數據的可視化使事件關聯更強，提升團隊生產力，實現更高效的漏洞管理。這有助于整體改進組織的風險管理策略和流程。

為何安全團隊的 AI 采用在增長

混合和多云環境帶來新的漏洞和攻擊面。現代攻擊以前所未有的速度展開，傳統系統產生大量警報（其中許多是誤報），且行業面臨全球人才短缺。難怪 AI 采用在不斷增加。事實上，全球 AI 網絡安全工具市場預計到 2030 年將以 27.9% 的速度增長。

AI 幫助安全團隊比手動流程更高效地分析復雜生態系統。AI 工具可以檢測威脅、篩選警報，并實現近實時響應 —— 最大限度減少對組織的損害。最終，它作為一種力量倍增器，承擔重復任務，讓人類專注于高價值的調查。

網絡安全中 AI 的五大主要用例

對于加強網絡安全實踐的組織來說，目前有五個突出的用例：AI 驅動的威脅檢測、SOC 自動化、事件響應、欺詐檢測和風險分析，以及數據接入。下面詳細介紹。

1）AI 驅動的威脅檢測與防御

傳統安全工具通常依賴簽名或已知模式，容易被新型或不斷演變的攻擊繞過。而 AI 可以實時分析網絡流量、用戶行為和系統活動的模式，幫助安全團隊識別可能表明入侵的異常，提供與高級持續威脅（APT）抗衡的強力工具。

機器學習模型特別擅長發現這些偏差：例如，基于行為的檢測系統可以識別內部人員行為何時偏離常態，從而標記潛在威脅。

2）用于 SOC 自動化的 AI

面對海量高速的數據，SOC 每天都會收到大量警報（其中許多為誤報），導致分析員疲勞和安全漏洞。為安全信息與事件管理（security information and event management?- SIEM）設計的 AI 工具現在可以自動化威脅分析，過濾出真正重要的警報，減輕分析員的負擔。通過在 SIEM 系統中使用 AI，安全團隊能為分析員提供更聚焦、高質量的儀表盤，指導日常工作。

3）用于自動化事件響應的 AI

事件響應要求快速反應。當分析員被數據淹沒時，響應時間就會延長。攻擊者在系統內停留越久，造成的損害越大。通過自動化關鍵威脅緩解步驟，組織可以大幅縮短從檢測到遏制的時間，減少人工干預。

安全編排、自動化和響應（Security orchestration, automation, and response?- SOAR）是一個框架，結合 AI 可加速響應自動化，只有在必要時才將關鍵問題升級給人工分析員。

4）AI 驅動的欺詐檢測與風險分析

銀行、電商和保險等行業需要強大的欺詐檢測系統。隨著威脅的升級和攻擊面的擴大，傳統的基于規則系統失效，常產生大量誤報且漏掉更隱蔽的欺詐行為。AI 驅動的欺詐檢測和風險分析是網絡安全中 AI 的重要應用。

通過實時分析交易模式、發現偏差，并識別復雜欺詐手段，AI 和機器學習算法幫助安全團隊主動進行風險緩解，最大限度減少潛在的欺詐損失。

Octodet 在終端層面主動防御威脅，保持其威脅檢測能力的更新。

5）數據接入

AI 驅動的數據接入是一個變革性工具，使安全管理員確保 SIEM 運行在完整且標準化的數據集上，覆蓋整個組織的 IT 生態。

通過自動化定制數據集成，安全專家可節省數周工作。原本需要數天完成的任務，現在 AI 可在不到 10 分鐘內完成，提升 SOC 更快獲得環境全貌的能力。

了解更多關于 AI 驅動 SIEM 給你的組織帶來的好處。

SOC 采用 AI 時常見的錯誤須避免

創建 AI 驅動的 SOC 有正確和錯誤的方法。許多組織在安全運營中實施 AI 時犯了關鍵錯誤。以下是一些常見的實施陷阱：

• 治理不足：缺乏適當監督，AI 工具可能做出錯誤決策或在監管和合規范圍之外運行，削弱內部用戶和外部利益相關者的信任。當沒有明確指定的利益相關者監督 AI 采用時，這些風險會加劇。缺乏明確的角色、職責和問責，使得難以有效管理 AI 系統、執行政策或在出現問題時響應事件。強有力的治理框架對于確保 AI 不僅有效，還要安全、合規且符合組織價值觀至關重要。
• 訪問控制薄弱：AI 系統通常需要訪問敏感數據。沒有嚴格的訪問控制，它們自身也可能成為攻擊目標。必須在采用過程的每一步都考慮安全。
• 使用敏感數據進行訓練：將未保護的個人或受監管數據輸入 AI 模型可能導致隱私泄露和合規問題。訓練模型時，安全團隊必須識別 AI 數據風險并采取相應措施。
• 開發過程忽視安全：為防止惡意篡改，AI 產品開發和部署生命周期的每個階段都必須考慮安全。尤其是實施像 AI 這樣不透明技術時，將安全前置到開發流程中能確保及早發現漏洞。
• 過度依賴自動化：AI 不能替代人類專業知識 —— 它是輔助工具。人工監督依然關鍵，尤其是在處理 AI 可能誤判或完全漏掉的情境敏感威脅時。要構建高效的 AI 輔助安全團隊，組織必須在風險評估和意外系統行為等方面優先考慮人工判斷。AI 與分析員的協作能促進更好的決策，減少盲點，并保持運營完整性。

現代化 SecOps 的最佳實踐

沒有一刀切的 AI 解決方案。現代化 SecOps 需要從基礎做起，構建支持安全運營團隊實際需求的基礎。成功的現代化以人為本，始于明確技術服務對象及其如何融入日常工作流程。

為了充分發揮 AI 在 SecOps 戰略中的力量，請考慮以下最佳實踐：

• 明確戰略起點：AI 采用應基于組織的具體風險狀況和團隊需求。制定清晰目標，并為 AI 部署設定 SMART（具體、可衡量、可實現、相關、時限）目標，確保解決正確問題并追蹤有意義的結果。

• 投資數據質量：AI 的表現依賴于所學習的數據。確保安全工具獲取來自整個 IT 環境的全面、準確、及時的數據。清洗、標準化和豐富的數據是準確威脅檢測和有效自動化的關鍵。

• 工具間集成：AI 應無縫連接現有安全生態系統——從 SIEM、SOAR，到端點檢測與響應（EDR）、云監控工具等。通過減少工具碎片化并實現統一可見性，提升響應速度。

• 培訓團隊：技術只是部分因素。培訓和技能提升使 SOC 分析員理解 AI 如何融入工作流程，解讀其輸出并做出明智決策。人類專業知識依然關鍵，特別是在處理邊緣情況或解讀 AI 建議時。

• 持續監控與調優：AI 不是“設置后忘記”的工具。定期評估模型表現并用更新數據重新訓練。持續調優確保 AI 系統保持相關性、準確性和可信度。

通過將現代化努力基于這些最佳實踐，組織能更負責任地部署 AI，提升威脅響應速度，增強整體安全態勢，同時讓 SOC 團隊成為轉型的核心。

為什么 SOC 選擇 Elastic Security 進行 AI 驅動的安全分析

基于 Elastic 的 Search AI 平臺，Elastic Security 將先進的 AI 能力集成到 SOC 工作流程的每個層面。加速數據接入，更高效的警報分類，并通過生成式 AI（generative AI）提升安全團隊的生產力。

Elastic Security 讓你能減少噪音，專注于關鍵事項，快速行動以保護和保障組織安全。

了解 AI 能為你的安全運營做什么。

探索更多網絡安全中的 AI 資源：

• 網絡安全 AI 綜合指南

• 認識 Elastic AI 助手，你的新團隊成員

• 觀看：獲取加速 SOC AI 應用的專家技巧

• 關于 AI 驅動安全分析的價值

• 了解生成式 AI 如何加快問題解決

本帖中提及的任何功能發布時間及發布權均由 Elastic 全權決定。當前不可用的功能可能不會按時或根本不會發布。

本文可能使用或提及第三方生成式 AI 工具，這些工具由各自所有者擁有和運營。Elastic 無法控制第三方工具，對其內容、運行或使用不承擔任何責任，也不對因使用這些工具可能導致的任何損失負責。使用涉及個人、敏感或機密信息的 AI 工具時請謹慎。你提交的任何數據可能被用于 AI 訓練或其他用途，不能保證所提供的信息安全或保密。請在使用任何生成式 AI 工具前，熟悉其隱私政策和使用條款。

Elastic、Elasticsearch 及相關標識是 Elasticsearch N.V. 在美國及其他國家的商標、標志或注冊商標。所有其他公司和產品名稱均為其各自所有者的商標、標志或注冊商標。

原文：AI adoption in security: Top use cases and mistakes to avoid | Elastic Blog