AI 很棒，但仍然需要人类来实施网络安全

在保护计算机和信息系统免受网络攻击方面，人工智能和机器学习可以提供帮助 - 但它们并不是解决日益严重的问题的万能药。

Critical Start, Inc. 的首席技术官 Randy Watkins 表示，尽管目前人们对 AI 及其在众多方面对人类的影响力日益增强的能力令人兴奋，但它并不是支持网络安全的灵丹妙药。

人工智能擅长管理大量数据，包括有关可能存在安全漏洞的警报。问题在于它如何解释这些信息。

警报按到达的顺序处理。然后根据适当的威胁级别对它们进行优先级排序和评估。具有深厚业务知识和经验的人类分析师擅长将每个警报置于适当的上下文中。机器，没那么多。 AI 驱动的系统可以检测异常用户活动，但在确定事件是否涉及恶意意图方面效果较差。

“我并不是所有人工智能的反对者，”沃特金斯说，“但人工智能和机器学习没有能力将大量理由应用到他们正在做的事情上。”

机器并不是特别擅长减少误报。以微软的 PowerShell 为例，这是一个流行的任务自动化框架。机器无法准确确定该工具的给定用户是否应该在特定时间执行命令。异常可能是也可能不是恶意攻击的结果。

“机器学习”一词意味着系统会随着经验变得更好，但沃特金斯说这种能力是有限的。训练算法以正确的方式进行响应需要输入大量先前的示例，无论是好的还是坏的。而且它仍然没有解决漏报的问题——系统漏掉的实际攻击。 “您必须能够去除会扭曲数据的异常值，”沃特金斯说。

确定一个事件是否是恶意的并不总是等于是或否的答案。一方面，公司必须确定他们希望系统有多敏感。它应该为 100% 的看似异常的事件发出警报吗？ 80% 怎么样？太多了，你会被警报和潜在的系统关闭所淹没。太少了，漏洞很可能会在未被发现的情况下溜走。

“当你引入更多变量时，你需要额外的数据集、更多关于主题和[系统]行为的背景，”沃特金斯指出。 “一旦你开始提出这些问题，机器就会崩溃。”

网络攻击的有效检测取决于累积风险评分，而人类在这方面做得很好。 “每次我们查看一个事件时，我们都会决定它是否可疑，”沃特金斯说。 “但你也可以应用推理，以及算法不具备的先前安全知识。

“一台机器可以快速抓取大量数据，”他继续说道。 “但是给它一个像最小权限这样的抽象概念并将其应用于警报集——它会识别权限升级吗？有很多看似恶意的良性活动。”

毫无疑问，机器学习将会发展，即使网络窃贼想出新的方法来避免被发现。微软在提高自动检测系统的复杂性方面取得了长足的进步，全球网络安全领导者 Palo Alto Networks 也是如此。 “但归根结底，”沃特金斯说，“你仍然需要一个人说，'是的，让这个域控制器离线。'”公司不断努力将错误警报导致的系统停机成本降到最低。

也就是说，没有足够的人类专家来满足所有部门对网络安全的需求。 “这个行业肯定缺乏人才，”沃特金斯说。因此转向外部支持，以管理检测和响应的形式。

人才短缺并不新鲜。 “自从安全存在以来，它就已经存在，”沃特金斯说。直到最近 10 年，公司和大学才开始意识到需要对未来的网络安全专家进行更好的培训和教育。

如果人类和机器要合作保护重要系统免受不断增长的网络攻击威胁，他们还有很长的路要走。 “当我们需要 60 岁时，我们从零开始，”沃特金斯说。 “现在我们需要 90 岁，而我们已经 60 岁了。”