在这次Help Net Security采访中,Twine Security首席执行官Benny Porat讨论了将人工智能代理应用于安全决策。他解释了为什么身份和访问管理(IAM)是增强和自动化的理想起点,并分享了关于建立对人工智能代理的信任并将其集成到现有工作流程中的建议。
哪些网络安全功能或域最适合人工智能增强与全自动化?CISO应该如何看待这种分工?
由于身份是网络安全中最关键的攻击面之一,所以我认为身份和访问管理(IAM)不论是人工智能增强还是完全自动化方面的应用都应该是公司在网络安全领域建设的关键且核心工作。
对于组织来说,一个健康的流程是开始与人工智能代理进行增强,然后在获得信任并且代理了解了您的特定组织需求和边缘案例后,进而进入完全自动化。大量的低复杂性的任务如身份管理、帐户所有权验证和常规IAM工作流程,这其实就是一个流程的引入管理,然后进入需要人类判断的更复杂的场景,如修复审计结果、过时的帐户识别和清理以及用户访问审查(UAR),人工智能将有助于加快流程,同时仍然让人类保持在循环中。
CISO应该如何重组他们的安全团队来整合人工智能代理?我们谈论的是现有角色的增加,还是全新的角色的出现?
当网络安全的新领域出现时,我们经常看到同样的事情发生:首先,组织和安全团队组成了一个专注于获得专业知识的新团队,因此创建了新的角色。当云安全成为整个部分时,许多组织都发生了这种情况。
一段时间后,你会看到整合。现有的网络团队和新团队结合在一起,然后每个人都有增强的能力(例如,安全方面和对人工智能代理的监督)。我预计这也会发生在代理人工智能上,因为它们将从根本上改变安全专业人员的运作方式。
人工智能驱动的网络安全决策是否应该以与人类决策相同的方式进行审计?如果是这样,实现这一目标的技术要求是什么?
人工智能驱动的网络安全决策应该比人类决策更可审计,而且它们已经是经过设计的。
让我们来看看一个不同的行业:自动驾驶汽车技术已经存在了一段时间,但人们需要比最初想象的更长的时间来磨合它。部分原因是自动驾驶汽车的每一次事故都得到了验证,智能是长期发展领域,而这些也需要不断增强大家对这个领域的理解和认识,长期得到关注。
现在让我们回到人工智能代理——与依赖记忆和主观回忆的人类决策不同,人工智能代理创建完整、不可变的审计跟踪,捕获整个过程中的每个决策点、数据输入、逻辑步骤和采取的行动。我们拥有人工智能代理的每个决策点和行动的完整历史,这在人类决策中是不可能实现的,比如我们的思维过程往往没有记录。
技术要求包括全面的日志记录系统,该系统通过应用所有数据源和权重捕获整个决策树,为每个操作提供推理的可解释的人工智能框架,不可变的审计日志,以及将每个操作映射到其根本原因的决策来源跟踪。这将合规性从被动文档转变为主动能力,其中每个人工智能驱动的安全决策都会自动记录、证明理由,并可供立即审查。
在评估网络安全中人类-人工智能团队模型的性能和投资回报率时,哪些指标或关键绩效指标最有用?
我经常建议团队从一个非常重要的项目开始,即使我们没有先进的人工智能代理技术,他们无论如何都会完成它。如果这是一个你无论如何都会做的项目,你应该能够有一个记分卡,知道它需要的时间,以及你在项目的各个方面寻求的质量。
然后,一旦你有了这个就可以带一个人工智能代理来做完全相同的项目,并看到节省大量时间、节省资源和能源,当然还有省钱提高投资回报率。质量可能有点棘手,我们看到它被市场上的一些人工智能技术供应商使用,因此在项目开始时从一开始就设定标准很重要。对人工智能代理的信任是关键,随着人工智能代理了解组织及其独特需求,他们的表现会更好。
在不造成更多警报疲劳或操作摩擦的情况下,将人工智能集成到现有的SIEM、SOAR和EDR工作流程中的最佳做法是什么?
在SOC世界中,最大的挑战之一是数量。如果你让人工智能简单地“处理数量”——这是有风险的,因为在这种情况下,通常很难评估他们的工作质量。就我个人而言,我不会将SOC作为组织中的第一个使用对象,这也是我们从IAM开始的部分原因。我认为,在你想与人工智能代理一起完全自主的地方,能够验证质量非常重要。
因此,如果我必须向CISO提供此类工作流程的提示——作为第一步,组织应该专注于在此类工作流程中实施代理人工智能,以丰富其现有警报的上下文,并接收可以为他们移动针的建议。
消息来源:helpnetsecurity, 编译:安全114;
本文由 anquan114.com 翻译整理,封面来源于网络;
转载请注明“转自 anquan114.com”并附上原文
暂无评论内容