采用安全信息和事件管理(SIEM)软件可以为企业提供威胁监控、事件关联、事件响应和报告。SIEM通过企业技术(其中包括应用程序、防火墙和其他系统)收集、汇总和分析日志数据,随后会提醒企业的IT安全团队登录失败、恶意软件和其他潜在的恶意活动。
然而,多年来,SIEM几乎没有超出提供更好、更易搜索的基于规则的日志引擎的能力。而人工智能(AI)和机器学习(ML)技术与网络安全工具的结合则预示着美好的未来。
调研机构Gartner公司在2016年创造了另一个新术语,也就是“用于IT运营的人工智能”(AIOps)。人工智能和基于机器学习的算法与预测分析相结合,正在迅速成为SIEM平台的核心部分。这些平台提供对给定IT环境中观察到的所有活动的自动化、持续分析和关联。这种集成为SIEM提供了深度学习功能和无数集成工具,以推动更明智的结果。
以下是这种集成SIEM的好处:
防止隐形攻击
典型的SIEM分析将在相对较短的时间内(通常是数小时和数天)收集的来自不同来源的事件相关联。这与基础设施的基线相比,如果超过预设阈值,将会输出优先警报。AIOps表示将长期(可能长达数年)收集到的事件信息存储在数据库中,然后对该数据应用于分析系统。
这种分析使AIOps能够随着时间的推移来调整基础设施基线和警报阈值,并根据相关事件自动采取一些补救措施。此外,使用大数据使SIEM能够检测到网络上非常缓慢或隐蔽的活动,否则SIEM可能会错过或忽略这些攻击。通过检测这些缓慢或隐蔽的攻击活动,安全团队可以防止重大安全事件。
威胁检测
除了提供标准日志数据之外,人工智能和机器学习技术还可以整合威胁情报源。某些产品还具有高级安全分析功能,可以查看用户和网络行为。机器学习使企业的SIEM能够促进跨大型数据集的威胁检测,从而减轻安全团队的一些威胁搜寻责任。威胁情报可以深入了解全球互联网上各个IP地址、网站、域和其他实体的可能意图,这使他们能够区分正常活动和恶意活动。
为企业的SIEM提供对一个或多个威胁情报源的持续访问,使机器学习技术能够使用威胁情报提供的场景。随着了解的更多信息,它开始理解超出其初始数据输入的恶意行为警告。因此,它可以阻止企业的网络安全从未遇到的威胁。它改进了SIEM的决策,尤其是在准确性方面,从而有助于深化企业的安全层。
不过在此提出一个警告:机器学习应用在较大的数据集上比应用在较小的数据集上更有效,但由于大数据可能有损耗,它可能会使合规性报告复杂化。但由于这是一个已知问题,因此有多种解决方法可供选择。
消除数据中的噪声
典型的SIEM提供了大量的监控数据/日志,但SIEM报告数据不具有可操作性、难以理解且包含太多噪声。集成人工智能的SIEM解决方案可以高效地管理大数据,并可以使用自动化工作流替换重复性而冗余的任务。
尽管大多数人工智能程序有助于数据分类,但人工智能元素无法对无法识别的数据点和事件信息进行分组。另一方面,机器学习可以利用数据聚类功能来识别这些未知值,并根据检测到的相似性将它们分组。
随着企业规模的扩大消除盲点
随着企业规模的扩大,安全系统变得更容易出现盲点。每个盲点可能会持续数月甚至数年都没有受到监控。因此,网络的这些部分可能会长时间未打补丁。这些盲点进一步成为黑客进行威胁的渗透场所。
幸运的是,SIEM中的人工智能可以帮助提高网络的可见性,从而快速、定期地发现网络中的盲点。它还可以从这些最近发现的盲点中提取安全日志,从而扩大SIEM解决方案的范围。
提高IT安全团队的响应能力
任何企业的安全运营中心(SOC)团队都是有限的,任何SIEM产生的日志数据量都相当可观。这使得以响应迅速且有效的方式处理事件的挑战极其艰巨。更重要的是,很多SIEM工具还提供了很多不相关的数据,导致安全运营中心(SOC)团队面临警报疲劳。
当处理太多警报并且不知道应该注意和忽略哪些警报时,就会发生这种情况。机器学习提供的自动化和标准化的工作流程可以减少人为错误的可能性,并更快地完成工作。
SIEM还需要企业的IT安全团队持续监控。人工监控每个系统检查点不仅会让工作人员筋疲力尽,还会导致工作倦怠。支持机器学习功能的SIEM可以提供:
•自我学习以自动化重复的非结构化流程
•自动化系统警报的能力
•数据可视化仪表板
•实时分析
•顶级企业安全
•跨部门共享
不幸的是,由简单的机器学习功能支持的SIEM无法与人类的创造力和网络攻击者的集体协作相匹敌。因此,企业的安全团队需要带头进行威胁追踪和事件响应。
但是,正确实施的人工智能增强SIEM可以通过其预测和自动化功能优化这些流程。此类SIEM可为企业的IT安全团队提供以下功能 :
•通过企业的安全关联规则,可以执行自动威胁搜寻。
•SIEM中的人工智能元素可以通过对所有警报自动应用情境化来识别误报。
•人工智能增强的SIEM可以加快安全工作人员有限的企业的检测和响应时间。
从本质上讲,企业不仅可以将这项技术视为第二双眼睛,还可以将其视为第二双手。但是需要记住的是,人类智慧将永远胜于人工智能。
预测模式
机器学习算法增强了SIEM系统,使它们能够使用以前的模式来预测未来的数据。 例如,考虑在安全漏洞期间提供的数据模式。机器学习功能使系统能够内化这些模式,然后使用它们来检测可能显示后续违规或渗透的可疑活动。
人工智能增强的SIEM可以阻止可能是恶意的进程。这不仅有助于调查和威胁补救,而且甚至在事件响应开始之前就可以减轻损害。
对于规模相对较小的企业或那些拥有简单IT基础设施的企业来说,启用人工智能的SIEM的成本可能会令人望而却步,同时在与良好的安全措施相结合的情况下几乎没有优势。大型且复杂的IT基础设施可能证明企业使用支持人工智能的SIEM的成本是合理的。但是,始终建议对产品进行详细评估。
Gartner公司预测,到2023年,全球约有1755亿美元将用于信息安全和风险管理。而到2023年,数据安全、云安全和基础设施保护是安全支出增长最快的领域。根据Zion Market Research公司的调查,全球基于人工智能的网络安全系统和服务2018年的支出高达71亿美元,预计到2025年将达到309亿美元。
随着在日益数字化的市场中生成越来越多的数据,企业关键信息的安全性至关重要。随着网络攻击的复杂程度和频率不断提高,支持威胁情报的网络安全工具将成为企业最宝贵的资产。