人工智能威胁情报平台的三大原则

随着新威胁和漏洞的加速涌现，全球企业安全态势压力不断增加，网络安全支出也将持续增长。根据IDC的数据，到2024年，全球网络安全支出预计将达到1747亿美元，其中安全服务是最突出和增长最快的市场类别，而威胁情报又是安全服务投资的热点。

在检测与响应速度决定一切的今天，威胁情报正在成为企业安全运营的“神经”和“大脑”，这意味着它也是人工智能技术在网络安全领域最先开花结果的领域之一。

今天，机器学习已经成为未来威胁情报发展的核心动力，结合机器学习和网络威胁情报，计算机能够比人类更快地检测攻击，并在攻击造成重大损失之前阻止它们。

以下是企业采用人工智能威胁情报平台来提高检测能力的三大原则：

只选最好的威胁情报流

基于机器学习的AI威胁情报产品能够收集输入信息、分析并输出结果。威胁情报是检测攻击的机器学习的重要输入信息，甚至是决定性的：发出攻击警报，或者执行终止攻击的自动操作。

众所周知，数据质量对机器学习系统的算法精度会产生重大影响。如果威胁情报包含错误信息，它将向攻击检测工具提供“不良”信息，从而导致工具的机器学习算法“中毒”，输出“不良”结果。

许多企业喜欢购买多个来源的威胁情报，这些情报中包含机器可读的攻击指标和证据信源，例如发起攻击的计算机的IP地址和恶意软件的文件名。还有一些威胁情报服务提供人类可读的文字，其中会详细说明最新风险。

对于“投喂”给机器学习系统的信源来说，企业应该坚持宁缺毋滥，只选最好的。

高度重视社会工程对抗能力

互联网通信几乎肯定会在未来几年变得更加安全，尤其是随着量子网络的最终诞生，基于网络的威胁即将成为过去。

但是，人为错误将继续（永远）存在。员工仍会有意或无意地导致数据丢失，攻击者将越来越多地依赖网络钓鱼和商业电子邮件欺诈（BEC）等社会工程技术。

因此，企业的机器学习系统应该将社会工程的检测和响应作为一个重点能力进行投入和培育。

通过上下文减少机器学习的误报

如果您使用威胁情报和机器学习技术来搭建自动化响应的纵深防御系统，误报会是一个重大风险，误报导致的错误响应很可能对运营产生负面影响。

威胁情报只是风险评估的一方面，另外我们还需要理解上下文知识，例如当威胁情报识别出恶意外部IP地址时，上下文知识这可以帮助机器学习从威胁情报中提取更多价值。

例如，如果流向恶意IP地址的网络流量来自某个内部数据库服务器，而不是面向大众的邮件订阅服务器，则可能需要启动专门的响应机制。

在最开始的“教学”阶段，建议将机器学习系统设置为监控模式，在这种模式下，机器学习系统可以识别出问题。由人类来审查并验证机器学习工具的警报，让它知道哪个是假的。机器学习在收到人类反馈之前无法从错误中学习和进步。

结论

如今，网络安全已经进入比拼内功和综合实力的阶段，运营安全是企业网络安全部门的头等大事。随着网络攻击变得越来越复杂，技术和策略迭代越来越快，拥有扎实的网络安全防御设施和出色的网络安全实践比以往任何时候都更加重要。

而基于机器学习的威胁情报系统，正是企业打造智能安全运营能力的关键基础。企业需要坚持原则，少走弯路，尽早尽快发育自己的“安全大脑”。