采用安全信息和事件管理(SIEM)軟件可以為企業(yè)提供威脅監(jiān)控、事件關(guān)聯(lián)、事件響應(yīng)和報(bào)告。SIEM通過企業(yè)技術(shù)(其中包括應(yīng)用程序、防火墻和其他系統(tǒng))收集、匯總和分析日志數(shù)據(jù),隨后會提醒企業(yè)的IT安全團(tuán)隊(duì)登錄失敗、惡意軟件和其他潛在的惡意活動。
然而,多年來,SIEM幾乎沒有超出提供更好、更易搜索的基于規(guī)則的日志引擎的能力。而人工智能(AI)和機(jī)器學(xué)習(xí)(ML)技術(shù)與網(wǎng)絡(luò)安全工具的結(jié)合則預(yù)示著美好的未來。
調(diào)研機(jī)構(gòu)Gartner公司在2016年創(chuàng)造了另一個(gè)新術(shù)語,也就是“用于IT運(yùn)營的人工智能”(AIOps)。人工智能和基于機(jī)器學(xué)習(xí)的算法與預(yù)測分析相結(jié)合,正在迅速成為SIEM平臺的核心部分。這些平臺提供對給定IT環(huán)境中觀察到的所有活動的自動化、持續(xù)分析和關(guān)聯(lián)。這種集成為SIEM提供了深度學(xué)習(xí)功能和無數(shù)集成工具,以推動更明智的結(jié)果。
以下是這種集成SIEM的好處:
防止隱形攻擊
典型的SIEM分析將在相對較短的時(shí)間內(nèi)(通常是數(shù)小時(shí)和數(shù)天)收集的來自不同來源的事件相關(guān)聯(lián)。這與基礎(chǔ)設(shè)施的基線相比,如果超過預(yù)設(shè)閾值,將會輸出優(yōu)先警報(bào)。AIOps表示將長期(可能長達(dá)數(shù)年)收集到的事件信息存儲在數(shù)據(jù)庫中,然后對該數(shù)據(jù)應(yīng)用于分析系統(tǒng)。
這種分析使AIOps能夠隨著時(shí)間的推移來調(diào)整基礎(chǔ)設(shè)施基線和警報(bào)閾值,并根據(jù)相關(guān)事件自動采取一些補(bǔ)救措施。此外,使用大數(shù)據(jù)使SIEM能夠檢測到網(wǎng)絡(luò)上非常緩慢或隱蔽的活動,否則SIEM可能會錯(cuò)過或忽略這些攻擊。通過檢測這些緩慢或隱蔽的攻擊活動,安全團(tuán)隊(duì)可以防止重大安全事件。
威脅檢測
除了提供標(biāo)準(zhǔn)日志數(shù)據(jù)之外,人工智能和機(jī)器學(xué)習(xí)技術(shù)還可以整合威脅情報(bào)源。某些產(chǎn)品還具有高級安全分析功能,可以查看用戶和網(wǎng)絡(luò)行為。機(jī)器學(xué)習(xí)使企業(yè)的SIEM能夠促進(jìn)跨大型數(shù)據(jù)集的威脅檢測,從而減輕安全團(tuán)隊(duì)的一些威脅搜尋責(zé)任。威脅情報(bào)可以深入了解全球互聯(lián)網(wǎng)上各個(gè)IP地址、網(wǎng)站、域和其他實(shí)體的可能意圖,這使他們能夠區(qū)分正常活動和惡意活動。
為企業(yè)的SIEM提供對一個(gè)或多個(gè)威脅情報(bào)源的持續(xù)訪問,使機(jī)器學(xué)習(xí)技術(shù)能夠使用威脅情報(bào)提供的場景。隨著了解的更多信息,它開始理解超出其初始數(shù)據(jù)輸入的惡意行為警告。因此,它可以阻止企業(yè)的網(wǎng)絡(luò)安全從未遇到的威脅。它改進(jìn)了SIEM的決策,尤其是在準(zhǔn)確性方面,從而有助于深化企業(yè)的安全層。
不過在此提出一個(gè)警告:機(jī)器學(xué)習(xí)應(yīng)用在較大的數(shù)據(jù)集上比應(yīng)用在較小的數(shù)據(jù)集上更有效,但由于大數(shù)據(jù)可能有損耗,它可能會使合規(guī)性報(bào)告復(fù)雜化。但由于這是一個(gè)已知問題,因此有多種解決方法可供選擇。
消除數(shù)據(jù)中的噪聲
典型的SIEM提供了大量的監(jiān)控?cái)?shù)據(jù)/日志,但SIEM報(bào)告數(shù)據(jù)不具有可操作性、難以理解且包含太多噪聲。集成人工智能的SIEM解決方案可以高效地管理大數(shù)據(jù),并可以使用自動化工作流替換重復(fù)性而冗余的任務(wù)。
盡管大多數(shù)人工智能程序有助于數(shù)據(jù)分類,但人工智能元素?zé)o法對無法識別的數(shù)據(jù)點(diǎn)和事件信息進(jìn)行分組。另一方面,機(jī)器學(xué)習(xí)可以利用數(shù)據(jù)聚類功能來識別這些未知值,并根據(jù)檢測到的相似性將它們分組。
隨著企業(yè)規(guī)模的擴(kuò)大消除盲點(diǎn)
隨著企業(yè)規(guī)模的擴(kuò)大,安全系統(tǒng)變得更容易出現(xiàn)盲點(diǎn)。每個(gè)盲點(diǎn)可能會持續(xù)數(shù)月甚至數(shù)年都沒有受到監(jiān)控。因此,網(wǎng)絡(luò)的這些部分可能會長時(shí)間未打補(bǔ)丁。這些盲點(diǎn)進(jìn)一步成為黑客進(jìn)行威脅的滲透場所。
幸運(yùn)的是,SIEM中的人工智能可以幫助提高網(wǎng)絡(luò)的可見性,從而快速、定期地發(fā)現(xiàn)網(wǎng)絡(luò)中的盲點(diǎn)。它還可以從這些最近發(fā)現(xiàn)的盲點(diǎn)中提取安全日志,從而擴(kuò)大SIEM解決方案的范圍。
提高IT安全團(tuán)隊(duì)的響應(yīng)能力
任何企業(yè)的安全運(yùn)營中心(SOC)團(tuán)隊(duì)都是有限的,任何SIEM產(chǎn)生的日志數(shù)據(jù)量都相當(dāng)可觀。這使得以響應(yīng)迅速且有效的方式處理事件的挑戰(zhàn)極其艱巨。更重要的是,很多SIEM工具還提供了很多不相關(guān)的數(shù)據(jù),導(dǎo)致安全運(yùn)營中心(SOC)團(tuán)隊(duì)面臨警報(bào)疲勞。
當(dāng)處理太多警報(bào)并且不知道應(yīng)該注意和忽略哪些警報(bào)時(shí),就會發(fā)生這種情況。機(jī)器學(xué)習(xí)提供的自動化和標(biāo)準(zhǔn)化的工作流程可以減少人為錯(cuò)誤的可能性,并更快地完成工作。
SIEM還需要企業(yè)的IT安全團(tuán)隊(duì)持續(xù)監(jiān)控。人工監(jiān)控每個(gè)系統(tǒng)檢查點(diǎn)不僅會讓工作人員筋疲力盡,還會導(dǎo)致工作倦怠。支持機(jī)器學(xué)習(xí)功能的SIEM可以提供:
•自我學(xué)習(xí)以自動化重復(fù)的非結(jié)構(gòu)化流程
•自動化系統(tǒng)警報(bào)的能力
•數(shù)據(jù)可視化儀表板
•實(shí)時(shí)分析
•頂級企業(yè)安全
•跨部門共享
不幸的是,由簡單的機(jī)器學(xué)習(xí)功能支持的SIEM無法與人類的創(chuàng)造力和網(wǎng)絡(luò)攻擊者的集體協(xié)作相匹敵。因此,企業(yè)的安全團(tuán)隊(duì)需要帶頭進(jìn)行威脅追蹤和事件響應(yīng)。
但是,正確實(shí)施的人工智能增強(qiáng)SIEM可以通過其預(yù)測和自動化功能優(yōu)化這些流程。此類SIEM可為企業(yè)的IT安全團(tuán)隊(duì)提供以下功能 :
•通過企業(yè)的安全關(guān)聯(lián)規(guī)則,可以執(zhí)行自動威脅搜尋。
•SIEM中的人工智能元素可以通過對所有警報(bào)自動應(yīng)用情境化來識別誤報(bào)。
•人工智能增強(qiáng)的SIEM可以加快安全工作人員有限的企業(yè)的檢測和響應(yīng)時(shí)間。
從本質(zhì)上講,企業(yè)不僅可以將這項(xiàng)技術(shù)視為第二雙眼睛,還可以將其視為第二雙手。但是需要記住的是,人類智慧將永遠(yuǎn)勝于人工智能。
預(yù)測模式
機(jī)器學(xué)習(xí)算法增強(qiáng)了SIEM系統(tǒng),使它們能夠使用以前的模式來預(yù)測未來的數(shù)據(jù)。 例如,考慮在安全漏洞期間提供的數(shù)據(jù)模式。機(jī)器學(xué)習(xí)功能使系統(tǒng)能夠內(nèi)化這些模式,然后使用它們來檢測可能顯示后續(xù)違規(guī)或滲透的可疑活動。
人工智能增強(qiáng)的SIEM可以阻止可能是惡意的進(jìn)程。這不僅有助于調(diào)查和威脅補(bǔ)救,而且甚至在事件響應(yīng)開始之前就可以減輕損害。
對于規(guī)模相對較小的企業(yè)或那些擁有簡單IT基礎(chǔ)設(shè)施的企業(yè)來說,啟用人工智能的SIEM的成本可能會令人望而卻步,同時(shí)在與良好的安全措施相結(jié)合的情況下幾乎沒有優(yōu)勢。大型且復(fù)雜的IT基礎(chǔ)設(shè)施可能證明企業(yè)使用支持人工智能的SIEM的成本是合理的。但是,始終建議對產(chǎn)品進(jìn)行詳細(xì)評估。
Gartner公司預(yù)測,到2023年,全球約有1755億美元將用于信息安全和風(fēng)險(xiǎn)管理。而到2023年,數(shù)據(jù)安全、云安全和基礎(chǔ)設(shè)施保護(hù)是安全支出增長最快的領(lǐng)域。根據(jù)Zion Market Research公司的調(diào)查,全球基于人工智能的網(wǎng)絡(luò)安全系統(tǒng)和服務(wù)2018年的支出高達(dá)71億美元,預(yù)計(jì)到2025年將達(dá)到309億美元。
隨著在日益數(shù)字化的市場中生成越來越多的數(shù)據(jù),企業(yè)關(guān)鍵信息的安全性至關(guān)重要。隨著網(wǎng)絡(luò)攻擊的復(fù)雜程度和頻率不斷提高,支持威脅情報(bào)的網(wǎng)絡(luò)安全工具將成為企業(yè)最寶貴的資產(chǎn)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。