【完勝人類?】網絡安全單靠人工智能注定失敗
新冠病毒加快企業數碼轉型,緊急採用遙距工作工具,結果亦同時令網絡安全事件增加。因為人類無法處理激增的數據點及數據,而擅長識別、過濾和確定威脅警告的優先次序的人工智能 (AI),便被視為網絡安全界的明日之星。
由於大量員工在家工作,以往要處理的數據因而激增,傳統的 SIEM 工具便難以協助安全人員疏理問題。專家解釋,SIEM 只能過濾從 SOC 安全中心發出的數百萬警報,當中必須靠人力找到各種關連,否則只能獨立處理每個警報。人工智能則可以對警報進行分析,找出當中的細微關聯,快速分辦是否誤報,並自動結合威脅報告將警報按風險指數優先排序,安全人員便可將注意力集中在最緊急的問題上,而不用擔心被其他次要問題擾亂。
人工智能不單可分析即時遇到的問題,還可用於整體威脅情報預測,預視組織接下來可能面臨的攻擊時間、地點和類型,例如當系統發現近來針對醫療設施的攻擊加劇,而企業的業務領域又與之相關,便會發出警告,讓安全人員了解瞬息萬變的安全風險趨勢。雖然人工智能看似萬能,但網絡安全專家警告不能完全依賴它的能力,因為它只是整個安全武器庫的其中一部分。
現時最火熱的研究,並非如何利用人工智能完全取代人手監控,而是找出一個正確的平衡點,作出最好的風險管理。專家指出,人工智能亦有可能犯錯,因此不應將所有任務都交由它決定,特別是如相關錯誤有可能導致業務中斷或難以估計的損失,便應交由人手作出決策。人工智能在安全監控過程中,對重要環節應只負責提供安全建議,並將收集得來的底層數據,經整理後交由人類分析。
對於大多數公司來說,人工智能在初期最能顯示其效益的地方,是融入網絡安全架構後的事件監控領域。一旦引入人工智能,便可大幅減少誤報或重複性工作的數量,就算有黑客入侵事件,也能較以往更快發現及作出報告,讓企業能夠更快修正安全風險問題。而要確實發揮人工智能的效力,相關政策、教育和管理的實施亦非常重要。首先,嚴謹的政策將有助於推動和塑造業務流程;其次是必須讓員工得到充分培訓,才能正確地及最大限度地使用人工智能工具。最後,企業亦必須監控和評估人工智能對安全解決方案和整體安全態勢的影響,持續地進行改善,才能令人工智能繼續成長,發揮出更大效能。