狼行千里吃肉，AI行千里该吃些什么？

就像铁人三项运动员知道，最佳表现并非仅靠昂贵的装备，网络安全团队也逐渐发现，人工智能能否成功，与其部署的工具关系较小，而更多取决于驱动这些工具的数据。

网络安全中的“垃圾食品”

试想一下，有这样一位铁人三项运动员：他在装备上不惜重金——碳纤维自行车、流线型防寒泳衣、高精度GPS手表，但在训练时却只靠加工零食和能量饮料来补充能量。尽管拥有顶级装备，他的表现还是会大打折扣，因为他的根基存在根本性缺陷。铁人三项运动员将营养视为训练中的第四项训练内容，它会对表现产生重大影响，甚至能决定比赛结果。

如今的安全运营中心（SOC）面临着类似的问题。他们在人工智能驱动的检测系统、自动化响应平台和机器学习分析上投入巨资，这些相当于专业级别的铁人三项装备。但他们为这些复杂工具提供支持的却是传统数据馈送，而这些数据馈送缺乏现代人工智能模型有效运行所需的丰富性和背景信息。

就像铁人三项运动员需要熟练协调游泳、自行车和跑步三项运动一样，安全运营中心团队必须擅长检测、调查和响应。然而，如果没有自己的“第四项训练内容”，安全运营中心分析师将只能处理稀疏的端点日志、零散的警报流和无法互通的数据孤岛，这就像试图仅靠一袋薯片和一瓶啤酒来完成铁人三项比赛——无论你的训练或装备有多好，你都无法第一个冲过终点线。虽然你可能在比赛当天摄入大量糖和卡路里以确保有足够的能量完成比赛，但这并不是一个可持续的长期方案，无法让你的身体达到最佳表现。

传统数据“食物”的隐性成本

“我们正经历人工智能革命的第一波浪潮，到目前为止，焦点都集中在模型和应用上，”Corelight首席战略官Greg Bell表示：“这是有道理的，因为它对网络防御的影响将是巨大的。但我认为人们开始逐渐意识到，机器学习和生成式人工智能工具的能力受到它们所消耗的数据质量的限制。”

先进的人工智能能力与过时的数据基础设施之间的这种脱节，造成了安全专业人员现在所说的“数据债务”——在并非为机器学习消耗而设计的基础上构建人工智能系统所累积的成本。

传统的安全数据常常类似于铁人三项运动员的训练日记，里面充满了不完整的记录：“今天跑步了。感觉还可以。”它提供了基本信息，但缺乏能够实现真正改进的精细指标、环境背景和性能相关性。传统的数据馈送通常包括：

稀疏的端点日志，只能捕获事件，但缺少行为背景

仅含警报的馈送，只能告诉你发生了某件事，但无法呈现完整情况

孤岛式数据源，无法跨系统或跨时间段进行关联

反应性指标，只在损害已经造成后才激活，没有历史视角

非结构化格式，需要大量处理后人工智能模型才能对其进行分析

攻击者已经在“提升表现”

当防御者还在为人工智能“营养不足”的数据而挣扎时，攻击者已经以精英运动员的自律优化了他们的方法。他们正利用人工智能创造适应性攻击策略，这些策略比以往任何时候都更快、成本更低且目标更精准，具体方式包括：

自动化侦察和漏洞利用开发，以加快攻击速度

降低每次攻击的成本，从而增加潜在威胁的数量

根据人工智能收集的情报个性化攻击方法，以实施更具针对性的攻击

根据有效的方法快速迭代和改进战术

与此同时，许多安全运营中心仍在试图使用相当于20世纪90年代训练方案的数据来防御这些人工智能增强的威胁——只有基本的心率信息——而竞争对手却在使用全面的性能分析、环境传感器和预测建模。

这造成了不断扩大的性能差距。随着攻击者在人工智能使用方面变得越来越成熟，防御数据的质量变得越来越关键。劣质数据不仅会减慢检测速度，还会削弱人工智能安全工具的有效性，制造出复杂的攻击者可以利用的盲点。

AI就绪数据：安全运营中心所需的“性能增强剂”

解决方案在于从根本上重新构想安全数据架构，围绕人工智能模型有效运行实际需要的东西。这意味着从传统的数据馈送过渡到可以称为“AI就绪”的数据——专门为人工智能分析和自动化而构建、丰富和优化的信息。

AI就绪数据与精英铁人三项运动员用来优化训练的全面性能指标具有相似的特征。就像这些运动员会追踪从功率输出、步频到环境条件和恢复指标的一切信息一样，AI就绪的安全数据不仅捕获发生了什么，还捕获每个事件周围的完整背景。

这包括在加密掩盖证据之前提供可见性的网络遥测、揭示行为模式的全面元数据，以及人工智能模型无需大量预处理即可立即处理的结构化格式。这种数据是专门为满足人工智能驱动的安全运营的三个关键组成部分而设计的。

人工智能驱动的威胁检测在由司法级网络证据支持时，效果会显著提升，这些证据包括在本地、混合和多云环境中的完整背景和实时收集。这使人工智能模型能够识别在传统日志格式中不可见的细微模式和异常。

人工智能工作流通过提供由专家编写的流程，并结合人工智能驱动的有效载荷分析、历史背景和会话级摘要，改变了分析师的体验。这相当于拥有一位世界级教练，能够立即分析性能数据，并提供具体、可操作的改进指导。

人工智能支持的生态系统集成确保人工智能就绪数据能够无缝流入现有的安全运营中心工具——安全信息和事件管理系统、安全编排自动化与响应平台、扩展检测与响应系统和数据湖——无需自定义集成或格式转换。它自动与分析师工具箱中的几乎所有工具兼容。

优质数据的复合效应

过渡到人工智能就绪数据的影响会在安全运营中产生复合效应。团队可以关联短暂云环境中的异常访问模式和权限升级，这对于应对传统工具遗漏的云原生威胁至关重要。他们扩大了对新型、规避性和零日威胁的覆盖范围，同时加快了新检测方法的开发。

也许最重要的是，分析师可以快速理解事件时间线，而无需解析原始日志，获得跨主机和会话的可疑行为的通俗语言摘要，并将注意力集中在优先级警报上，同时清楚了解每个事件重要的原因。

“高质量、富含背景的数据是人工智能发挥其全部潜力所需的‘清洁燃料’，”Bell补充道：“缺乏优质数据的模型必然会令人失望。随着人工智能增强成为攻击和防御的标准，成功的组织将是那些理解一个基本真理的组织：在人工智能安全的世界里，人如其食。”

结语：每个SOC都必须做出的“训练决策”

随着人工智能成为攻击和防御的标准，人工智能驱动的安全工具如果没有合适的数据，就无法发挥其潜力。继续用传统数据为这些系统“喂食”的组织可能会发现，他们在下一代技术上的大量投资在日益先进的威胁面前表现不佳。那些认识到这不是要取代现有的安全投资——而是要为它们提供高质量的“燃料”以实现其承诺的组织，将能够解锁人工智能的竞争优势。

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END