缩小人工智能在安全领域的关注范围

在过去的几个月里，人们很难摆脱人工智能的头条新闻。亚马逊、微软、Meta、谷歌无处不在，我们看到大量资本涌入整个人工智能行业。没有关于人工智能的商业计划或收益电话会议声明的公司经常会受到关注并受到惩罚。高价收购令投资者垂涎欲滴。只需看一下过去 6 年中的一些顶级收购即可。

我从 2015 年开始熟悉机器学习，当时该行业开始发展，数据科学成为自己的领域，与统计学和计算机科学分开且截然不同。大学迅速跟进建设项目，企业开始投资升级 GPU 等硬件，现在我们整个行业都具备了使用机器学习模型来构建人工智能的能力。

与许多浪潮一样（Gartner 使用术语“炒作周期”），我们知道所有事情都需要随着时间的推移而实现和完善，其中许多都需要纳入长期业务战略。Gartner 认为我们需要 2 到 10 年才能实现这一目标，我认为这是相当现实的。

与过去的其他浪潮类似，人工智能有许多子组件，我相信安全只是其中的一小部分。如果你在互联网上快速搜索，你会发现各种关于人工智能将如何改变整个行业的文章，例如威胁检测、行为分析和自然语言处理。我确实相信这些行业将会得到改善，我们已经看到人工智能可以比人类更快更好地拼凑数据，但我不认为这会完全改变功能。我认为以下两个领域将彻底改变。

自动修补漏洞

对于许多 CISO 来说，漏洞管理是永远挥之不去的眼中钉。这是一个持续的过程，随着技术表面积的增长而扩展。但是，如果有一种方法可以在漏洞发布后立即自动修补系统呢？

为了帮助我进一步解释，我想借用 2016 年 Defcon 的一个例子。对于那些不熟悉的人来说，DARPA 推出了他们为期两年的竞赛锦标赛，称为 Cyber Grand Challenge。这是机器对抗机器、基于现实世界漏洞攻击零日漏洞、同时重建和保护系统的历史性事件。评分很简单，每轮都会根据以下概念对您进行评判：

• 可用性——您的程序仍然有效并且可用吗？

• 防御（安全）——有人利用你的程序吗？

• 进攻性（评估）——你参加了别人的项目吗？

结果非常令人印象深刻，您可以在YouTube上观看完整的分析。然而，在开创性的概念出现之后，吸引力似乎很快就消失了。接下来的几年里，投票机和自动驾驶占据了舞台，从那以后我们就没有看到这个行业有太大的吸引力。获胜者ForAllSecure最近确实在 2022 年筹集了 B 轮融资，但整体概念和技术似乎与行业共享不佳，甚至在联邦和私营部门广泛实施。

虽然这个概念很新颖，但这项技术还处于萌芽阶段。快进到今天，DARPA 表示他们将在 2024 年和 2025 年的 Defcon 上再次举办这一活动，这次是与 Anthropic、谷歌、微软和 OpenAI 合作，并获得超过 1800 万美元的奖金。经过 8 年多的改进，结果一定会令人惊叹。有了如此多的开源项目和第三方程序不断增长的表面积，我坚信修复漏洞管理的唯一方法是动态修补，而不是传统的人工主导的修补。注册现已开放，我很高兴看到明年会发生什么。

SOC

安全运营中心，也称为 SOC，是安全保护伞内人力最密集的单位之一。SOC 需要始终保持在线状态，配备操作手册，并准备好应对组织可能面临的任何类型的安全事件。这意味着您可能需要全球劳动力、轮班工作或可以提供满足您需求的全面覆盖的外包提供商。另一个挑战是，在 SOC 中保持高昂的士气可能非常困难，而且倦怠现象很常见。

可能有数百个数据源连接到 SOC。仅举几例，包括端点日志、网络日志、入侵检测系统、应用程序日志、第三方供应商日志、身份日志、安全访问日志、电子邮件日志等。拥有可靠的时间表是将数据拼接在一起的最佳方式，但分析师通常需要手动提取和验证日志，特别是如果它们不容易集成到现有系统中。SOC 行动手册通常是某种形式的树和分支结构，这要么导致解决，要么升级。这项工作可能很乏味，并且意味着需要与多种形式的数据进行交互，以便就流程的下一步做出明智的决策。解析日志、指标和构建时间表可能需要数小时或数天的时间。

尽管这仍然是相当新的，并且目前缺乏训练数据，但我相信人工智能可以真正颠覆 SOC 的所有元素，并为分析师提供比现有数据多 10 倍的数据并节省 10 倍的时间。需要大量的企业数据整合、隐私边界和处理能力才能将其整合在一起。我们已经可以看到该行业正在努力开启这一趋势。思科收购了 Splunk，谷歌收购了 Mandiant，微软收购了 RiskIQ、CloudKnox和Miburo。亚马逊和 Meta 正在通过内部投资完善自己的工具。

很难说 10 年后我们会发展到什么程度，但我描绘了一个非常不同的漏洞管理计划和 SOC，我认为这些领域总体上代表性不足。尽管安全只是人工智能浪潮的一小部分，但我希望我们能在这些领域看到巨大的变化。

>>>错与罚<<<