網路安全領域中的 AI:超越市場炒作並面對挑戰
什麼是 AI,或許更重要的是怎樣才不算是 AI
AI 最基本的型態是一種演算法,其目的在於以模仿智慧的方式與數據集互動。隨著演算法變得更加複雜且集中,其能夠產生一些深具啟發性的結果,像是如同人類般的語言生成、藝術生成和超越人類的模式識別。需要注意的是,其只是「看起來像」,卻不是真正的 AI。以語言生成工具為例。它們實際上是預先製作文字 (通常來自網路) 的大量概率性對應,也就是根據每個新單詞或短語接續在前一個生成字詞之後 (相對於由使用者提示) 的概率來判斷要產生的文字。雖然事實證明這種概率生成方法非常有效,但它並不是自由思考,並且當多個回應的概率都很高但卻只有一條正確路徑時將會出現問題。重要的是必須記住 AI 的運作原理,以便公司能夠正確地加以利用。該工具的有效性取決於它的使用方式。
為何 AI 對於網路安全性來說如此重要
當您了解 AI 演算法對於特定數據集建立的概率對應,並判斷以相同方式可能會生成哪些內容,然後再將其套用於惡意及良性工具和行為的概念和數據集,我們就可以預期一個龐大的機會產生,也就是能夠判斷檔案、流量模式或行為是否具有惡意性質,即使該特定事件以前從未見過。實現這一成果將面臨關鍵挑戰,AI 必須解決這些挑戰以改善網路安全成果。
面臨最大的挑戰:AI 在網路安全實作中邁向成功的路徑
- 挑戰 1:數據和演算法:AI 效能的基礎及其潛在問題
AI 的成敗取決於所使用的演算法以及用於訓練的數據。若演算法的數據集無法對應作為惡意活動指標的參數,則真實世界中的所有數據都不再有意義,惡意活動也將穿梭自如而無法被偵測到。相反地,如果適用的演算法並未獲得數量足夠且高品質的數據,那麼這些對應將無法建立足夠高的概率分佈,並且會因演算法得出錯誤結論而產生錯誤事件 (包括誤判或漏報)。 - 挑戰 2:模糊化:相信黑盒子嗎?
某些廠商的 AI 模型會以「黑盒子」的方式運作,因而造成演算法和決策過程的混淆。這種可視性的缺乏可能會帶來問題,讓人很難甚至不可能了解為什麼 AI 將某些事件標記為可疑事件,並導致對於責任劃分和潛在偏見的疑慮。 - 挑戰 3:整合和專業知識:超越即插即用的幻想
AI 解決方案並不是即插即用的萬靈丹。他們需要與現有安全基礎結構和專業知識之間的整合,以更有效地解譯及利用其輸出。安全團隊需要接受訓練,以了解 AI 的運作原理、其侷限性,以及如何最有效地將其見解融入整體安全狀況中。
超越挑戰:消除迷思
除了這些挑戰之外,還有一些迷思造成人們對於 AI 在網路安全方面的誤解:
- 迷思 1:AI 會自動改善任何網路安全工具:
雖然許多網路安全廠商當然希望您相信這是真的,但現實是許多 AI 演算法並不符合需求,以藝術生成為例,錯誤的演算法會導致糟糕的結果。 - 迷思 2:一體適用解決方案:
不同的 AI 解決方案能滿足不同的需求。了解您的具體要求並選擇正確的工具對於成功實作來說至關重要。 - 迷思 3:堅不可摧的安全保障
與任何技術一樣,AI 也容易受到攻擊。持續監控和調整 AI 系統對於維持其有效性來說至關重要。
為什麼這在過去起不了作用
在某些方面,其確實有效,例如為識別惡意檔案中的簡單模式而建立的模型。雖然這種模式比對模型在技術上確實符合 AI 的基本定義,也是原始 IDS/IPS 引擎的基礎,但卻不夠強大或欠缺足夠「智慧」,無法解決安全試圖解決的挑戰。擁有正確的模型,或許更重要的是擁有能建立和改善該模型的專業知識更至關重要。構建一個可以概率性地對應「整個網際網路」並不是一件簡單的事情,對於惡意活動與良性活動的模型來說也是如此。此外,正如上面第一個挑戰中所討論的,提供給該模型的數據必須非常龐大 (很像是使用「整個網際網路」的 LLM),同時也必須經過正確的分類和篩選。
高階主管在網路安全計劃中採用 AI 時應考慮什麼
網路安全性中的 AI 可能非常強大,但仍需要妥善處理。採用通用的 AI 並不足以深入了解威脅形勢,並且需要公司自行訓練模型,這是一項極其複雜且需要密集運算的任務。我們強烈建議您應透過深入審查來評估網路安全廠商在其產品線中的 AI 整合。如果任何廠商無法解釋演算法如何運作、如何訓練以及基於什麼類型的數據,那麼潛在的問題可能會比廠商聲稱要解決的問題帶來更多的風險。