网易首页 > 网易号 > 正文 申请入驻

AI赋能的主动防御是如何从概念走向真实落地的?

0
分享至

本文节选自安全牛最新发布的《AI赋能主动防御技术应用指南(2025版)》报告。 (扫描下方二维码可下载完整报告)

AI赋能的主动防御无疑是未来企业网络安全的应对趋势,但对于大多数企业而言,AI赋能安全听起来不知从何下手。是否需要一下子投入大量资金购买昂贵的AI平台?还是可以从现有的安全工具开始升级?本文打破你的困惑,基于专业的AI赋能主动防御成熟度模型,为你提供一份清晰、可操作的落地路线图。无论你的企业处于哪个阶段,都能找到“小步快跑”的实战路径,最终实现安全体系的“智能免疫”。

人工智能驱动的主动防御的实施是一个系统性持续优化的复杂过程,不可能一蹴而就,应遵循由浅入深、由点到面、由易到难的原则。组织可基于成熟度框架,结合自身实际情况,采用循序渐进建设方法,稳步推进各阶段建设,才能充分发挥人工智能在网络安全领域的潜力,构建坚不可摧的安全防线。

L1:基础探索阶段

基础探索阶段是企业AI安全能力建设的起点,通过引入单点AI能力,建立初步安全数据基础,为后续系统化AI安全建设奠定基础。此阶段重在认知提升、数据准备和单点验证,虽然效果有限但可快速获得价值感知。企业在该阶段处于初步认知AI潜力,缺乏系统规划的状态。

建设目标:通过引入单设备AI能力,提升单点效率:降低特定攻击类型(如已知恶意软件)的误报/漏报。

应用实施重点是通过在特定安全产品(如防病毒软件AV、Web应用防火墙WAF、终端检测与响应EDR)中集成AI检测功能,提升单点防护能力。

L1:基础探索阶段

具体建设步骤:

AI安全基础认知与规划准备:核心是建立团队对AI安全价值的初步共识与宏观理解。组织团队成员了解AI在模式识别、异常检测等方面的基本能力,并明确通过AI辅助降低传统杀毒软件的误报率的初步愿景。

具体建设步骤:

安全数据基础梳理与初步收集:核心是识别并初步建立核心安全日志的集中收集机制。应制定关键安全日志来源清单,如防火墙、终端防护软件(EPP/AV)、Web服务器、认证服务器等,选择集中式日志管理工具,配置关键系统开启并转发重要日志,主要关注从防火墙读取的连接/阻断日志、EPP发送的恶意软件告警,以及认证服务器的登录事件日志。例如,配置服务器发送安全日志(EventID4624/4625登录事件)或防火墙配置Syslog转发。

部署具备内置AI能力的通用安全产品:核心是利用现有成熟产品中自带的AI能力,快速提升特定防护点的效能。应部署内置集成AI能力的特定安全产品,如带有AI威胁检测引擎的下一代防病毒软件(AV),内置AI模块以识别异常Web攻击的WAF,或具备AI行为分析能力的终端检测与响应(EDR)产品,并确保其AI功能已开启。例如,AV产品中的AI会分析终端生成的可疑文件行为或程序执行特征,通过AI识别未知恶意软件家族的变种,从而减少对传统签名库的依赖并降低对合法程序的误报;WAF中的AI则分析Web应用接收到的HTTP/HTTPS请求,识别SQL注入、XSS攻击的变体,减少对静态规则的依赖;EDR中的AI通过对进程行为链的分析,识别无文件攻击、勒索病毒的早期加密行为,提升对新型攻击的检测能力。

部署具备内置AI能力的通用安全产品

完成指标:

  • 核心日志源覆盖率:关键日志来源的接入比例(例如,50%的核心防火墙和EPP日志已接入),反映数据基础的初步建设。

  • 特定攻击类型误报率降低:针对AV/WAF/EDR等产品中AI功能,其特定攻击类型的误报率是否有初步降低(例如,AV对未知恶意软件的误报率降低5%)。

  • AI功能检测率提升:AI功能对特定未知威胁的检出率是否有初步提升。

主要挑战:

  • 数据孤岛:安全数据分散在众多系统中,统一收集和管理面临困难,制约了数据基础与治理的提升。

  • AI技术认知不足:安全团队成员对AI的基本原理和应用不熟悉,可能导致不切实际的期望或抵触。

  • 单点效果不明显:初期AI辅助功能可能效果有限,影响安全效果与业务价值的初步感知。

L2:局部试点阶段

企业已形成AI应用意愿,应聚焦能够快速验证AI价值、数据相对可控且能解决实际痛点的场景,进行小范围针对性验证。

此阶段的建设目标是发现威胁:识别传统方式难以感知的潜在威胁,扩大威胁发现范围。其应用实施的重点是AI行为分析:利用用户与实体行为分析(UEBA)、网络流量分析(NTA)等,识别特定场景(如员工异常行为、特定网络流量异常)的偏离模式。企业应选择小步快跑、精而准的试点场景,避免大而全的陷阱,该阶段的核心是聚焦能够快速验证AI价值、数据相对可控且能解决实际痛点的场景。

L2:局部试点阶段

通常选择的特定场景如:

告警降噪与智能分类场景。针对某一类高频且误报率高的入侵检测系统(IDS)告警,通过导入历史告警数据给AI模型学习,实现AI自动将告警分类为真实攻击或误报,从而减少分析师手动处理量,发挥AI技术应用深度在告警优化上的能力。

快速溯源与知识问答场景。针对异常登录事件,利用AI分析认证日志、VPN日志、用户活动日志,快速关联用户历史行为、登录IP地理位置、时间,辅助分析师判断其风险等级并快速溯源,发挥AI驱动的威胁狩猎与情报的能力。同时,可将内部安全文档和常见问题导入AI进行知识问答训练,提供步骤指导。实现辅助分析师快速判断风险等级并提供溯源线索;如向AI提问如何处理异常登录事件?AI给出步骤指导,初步发挥安全知识图谱的应用。

具体建设步骤:

L2:局部试点阶段

获取特定试点数据并部署专门的行为分析型AI工具:核心是精准数据准备,并引入聚焦行为分析的AI解决方案。应从日志中提取试点场景所需的数据(例如,认证日志、VPN日志和部分用户活动日志用于异常登录检测),并与厂商合作,部署用于行为分析的AI工具或解决方案,例如UEBA模式、NTA模块,或具备高级行为分析能力的EDR平台。接着,针对某个部门或非关键业务系统部署AI工具,并设置参数,明确哪些数据字段对应用户ID、IP地址等。并让AI工具进行基线学习,观察并学习什么是正常行为(例如,张三通常在工作日上午9点到下午6点从公司网络IP登录,外地出差会通过特定VPNIP登录)。

AI告警监测与初步威胁情报验证:核心是验证AI检测的准确性,结合威胁情报进行初步确认。应复核AI工具产生的所有告警,评估其准确性,以验证AI技术应用深度的初步效果。对于AI标记的任何可疑指标(如IP、域名),需手动交叉验证公共威胁情报库来确认其恶意性,初步发挥AI驱动的威胁狩猎与情报的能力。

完成指标:

  • 试点场景误报率降低:例如,特定IDS告警的误报率降低15%。

  • 试点场景新增威胁发现数量:AI发现传统方法未曾发现的异常(例如,新增3起内部异常登录)。

  • 初步威胁溯源效率提升:例如,异常登录事件的初步分析时间缩短10%。

主要挑战:

  • 数据质量差距:用于试点的数据可能仍存在不一致或缺失,影响AI准确性,是数据基础与治理的持续挑战。

  • 内部系统整合难:获取和连接特定数据到AI工具的集成工作可能遇到困难,影响安全运营流程的顺畅。

  • 投资回报(ROI)差距:初期单点试点效果可能不显著,难以有效量化和展现其全部价值,影响安全效果与业务价值的初步评估。

L3:体系融合阶段

企业在该阶段已经完成规划全局AI安全战略,将AI能力赋能威胁检测与响应。

在此阶段,建设目标是提升运营效率:通过自动化和智能辅助,减少人工分析负担,加快事件处理。其应用实施的重点包括安全数据湖/中台构建以统一多源安全数据,为AI模型提供集中化数据支撑;SOAR集成AI,将AI检测结果与安全编排自动化与响应(SOAR)平台集成,实现AI辅助事件分析和部分自动化响应;以及AI驱动的威胁狩猎与情报,基于AI生成的线索,缩短威胁调查时间(TTR)。

L3:体系融合阶段

具体建设步骤:

构建统一数据平台与数据治理体系:核心是实现多源异构安全数据的集中纳管、标准化与治理,为AI能力提供统一数据底座。应首先构建中央安全数据平台与数据治理体系。构建统一的数据平台,配置所有关键安全日志源(防火墙、EDR、AD、DNS、云活动日志等)发送所有相关日志和遥测数据到该数据平台,为安全知识图谱的构建和所有AI能力的数据基础奠定坚实基础。

数据治理,贯穿始终:核心是确保数据质量与合规性,实现数据的标准化与智能化。应制定并采用通用的数据标准和规范,实现不同设备和系统之间的数据格式统一,方便AI进行数据交换和共享。例如,定义统一的源IP、目标IP、事件时间等字段命名和格式,并通过数据质量检查工具定期监控数据质量。同时,数据安全合规至关重要,需建立完善的数据安全管理制度,确保所有收集和用于AI训练的数据在整个生命周期内(采集、存储、处理、分析)的安全性与合规性,例如,对敏感的用户行为数据进行脱敏处理。

整合AI能力与核心安全运营平台集成,实现AI检测结果与SIEM/SOAR的无缝集成,提升事件分析效率,启动初步自动化响应。应将AI分析引擎的输出(如AI生成的告警、风险评分)集成到SIEM系统,以富化现有告警或创建高可信度新告警。确保AI与SOAR平台之间通过API接口顺畅通信。SOAR平台将利用自动化威胁情报富化机制,当SIEM中生成告警时,自动调用威胁情报API,查询告警中的IP、域名、文件哈希等指标,并将查询结果(如该IP为已知恶意IP)附加到告警中,实现初步的威胁情报判断自动化。发挥AI智能威胁预测和智能决策与自动化响应的初期协同。

开发基本的SOAR自动化剧本(结合基线与初步威胁情报):核心是针对常见、高置信度AI告警实现基础的自动化处理。应为AI检测结果创建简单的自动化剧本。例如,若AI检测到某外部IP被威胁情报确认为恶意并尝试扫描端口,SOAR自动调用防火墙API将该IP加入临时黑名单,并创建工单。若AI检测到员工账户出现异常登录(基线偏离),但风险较低,SOAR可自动发送通知给员工确认,并记录事件。发挥AI安全运营流程与自动化的初步提升。

AI驱动的威胁狩猎与情报:应提升威胁狩猎的效率和精准度,配置AI持续分析数据,根据异常行为基线偏离和已整合的威胁情报,生成高风险线索或异常模式集群,提供给威胁狩猎团队。

持续优化:应设定明确的量化指标,与组织的业务目标相关联,清晰地反映AI赋能的价值。如事件响应时间(MTTR/MTTI)缩短率(目标缩短20%)、威胁监测率提升(目标提升10%)、告警降噪率(目标降低30%)以及安全运营成本降低(目标降低5%)。接下来应持续测量效果,可视化展示。企业应持续测量效果并可视化展示上述指标,例如,用饼图展示AI已过滤XX%的误报告警,用折线图展示MTTI从X小时降至Y小时,从而向管理层和业务部门直观展示AI带来的价值。

强调商业价值:通过L2和L3阶段的小而成功的案例,展示AI赋能的巨大潜力,并以此为基础,逐步扩大应用范围,争取更多预算。持续向领导汇报AI如何提高安全运营效率、降低运营成本、提升威胁检测能力、降低安全风险、增强客户信任、提升品牌形象等商业价值。

完成指标:

  • 安全数据湖覆盖率:整合关键日志源到数据平台的比例(例如,接入70%的关键日志源)。

  • 告警降噪率:AI过滤掉的低价值或误报告警数量比例(例如,降低40%)。

  • MTTI缩短率:平均事件调查时间因AI辅助而缩短的比例(例如,缩短25%)。

  • 基本自动化率:常规安全任务或初步响应步骤的自动化比例(例如,10%的Level1告警已实现完全自动化)。

主要挑战:

  • AI复合型人才稀缺:既懂网络安全又懂AI技术的人才难以招聘和培养,影响组织能力与人才发展。

  • AI模型信任问题:安全分析师可能对AI自动化决策的准确性和可靠性存在疑虑,挑战治理、风险与合规(GRC)中对信任的建立。

  • 数据治理复杂:跨部门、多源异构数据的整合、清洗和标准化工作量巨大,是数据基础与治理的持续难点。

L4:智能协同阶段

企业在该阶段已实现跨产品、跨领域AI协同,形成全局安全边界。

建设目标是实现威胁预判:提前识别攻击意图,并通过全局协同实现多层次的防御。应用实施的重点包括AI全栈关联分析,对终端、网络、云、应用等多源数据进行AI分析,构建完整攻击链图;AI动态策略调整,根据实时威胁和业务风险动态调整防御策略;以及AI驱动红蓝对抗,利用AI模拟攻击,持续评估并提升防御体系。

L4:智能协同阶段

具体建设步骤:

实现全栈数据整合与高级关联分析:核心是强化基线与威胁情报融合,达到全面、实时的数据覆盖,并利用AI实现跨域数据的高级关联。应将所有IT和OT(工业控制)环境中的相关安全数据源都持续馈送到安全数据湖,例如完整的ActiveDirectory日志、DNS日志(用于可疑域名查询)、EDR遥测数据(进程执行、文件哈希、内存访问)、身份提供商日志(Okta、AzureAD)、应用层日志。随后,实施高级AI模型(如图神经网络),自动关联来自不同安全域的碎片化事件,构建完整的攻击链视图。例如,AI能关联一个异常的邮件附件点击(端点数据)到随后的内部网络扫描(网络数据),再到云端API的异常调用(云数据),从而发现复杂的APT攻击。这些多维度数据用于构建更精准的多维度行为基线,并进行高级威胁情报的融合与推理,提升AI智能威胁预测和行为异常检测的能力。

实施AI驱动的动态安全策略:核心是基于基线异常与威胁情报确认,赋能AI根据实时威胁态势,自动推荐甚至执行安全策略调整。应对AI识别出的高置信度关键威胁(例如,通过行为异常检测发现的勒索病毒行为,或通过深度威胁情报关联确认为国家级攻击),配置SOAR剧本以触发自动化遏制动作。可通过SOAR平台调用API,在网络设备(如防火墙、SDN控制器)上实现网络微隔离;调用EDR平台API隔离受感染主机;或调用身份提供商API实现多因素认证(MFA)。例如,AI检测到某内部服务器出现偏离其正常基线的异常网络流量,且该流量的目标IP被高级威胁情报确认为某个活跃APT组织的C2服务器。AI会立即推荐/自动执行将该服务器微隔离到仅允许必要通信的区域,或临时收紧相关用户的访问权限。

开展主动式AI驱动的威胁狩猎与情报:核心是融合基线与威胁情报洞察,利用AI更深入地发现潜伏威胁,并从狩猎中反哺情报。应配置AI在海量数据中识别微妙的异常行为和潜在攻击指标,融合复杂行为基线偏离和深度关联的威胁情报。AI会提供优先级高的狩猎线索(例如,用户A在非工作时间访问了敏感数据,其设备还与一个最新威胁情报中提及的恶意域名进行了通信-可能存在内部威胁与外部攻击的融合),并富化上下文信息。同时,应开展AI驱动的红队演练,部署AI驱动的模糊测试工具用于发现应用程序漏洞,或自动化渗透测试框架利用AI探索攻击路径,并配置AI生成新型攻击模式或对抗样本,用于测试AI防御系统对变异威胁的响应能力和韧性,提升AI自身防御和AI驱动的威胁狩猎与情报的实战能力。

完成指标:

  • 检测威胁的平均时间:AI在威胁造成损害前预测或检测威胁的平均时间(例如,将检测时间从48小时缩短到2小时),体现安全效果与业务价值的提升。

  • 跨域威胁关联率:安全运营流程与自动化的协同效率。

  • 动态策略调整速度:AI推荐/部署安全策略的速度(例如,策略更新速度提升5倍)。

  • 威胁狩猎效率:APT发现率提升(例如,APT发现率提升20%)。

主要挑战:

  • AI模型管理复杂性:协调和维护众多相互关联的AI模型极具挑战性。

  • AI伦理与合规挑战:确保AI决策的透明度、可解释性和责任归属,避免潜在伦理风险。

  • 对抗性AI风险:如何提升自身AI防御系统对攻击者利用AI发起更复杂攻击的鲁棒性。

L5:主动免疫阶段

此阶段是AI赋能主动防御的最高境界,企业已实现AI驱动安全治理,体系持续自适应,自我进化。

建设目标是构建智能韧性:实现安全体系的自适应、自我优化和预测性防御。

应用实施的重点包括AI赋能安全治理,驱动动态评估、安全策略优化和决策支持;AI持续学习与进化,利用对抗性学习自动适应新型威胁;以及AI驱动自主编排,实现安全策略自动生成与执行,系统自我实现修复。

L5:主动免疫阶段

具体建设步骤:

企业应实现AI驱动的战略洞察与治理。包括实施AI驱动的风险评估工具,通过关联脆弱性扫描、实时威胁情报(包括AI自身从异常行为和对抗性模拟中生成的情报)、资产关键度等,持续分析企业风险态势,为战略决策提供依据。AI还将分析安全开支效率,并推荐最佳资源分配方案,以符合COBIT的治理原则。AI还能进行预测性合规审计,主动识别潜在合规漏洞并建议纠正措施。

实现AI驱动的战略洞察与治理:核心是将AI应用于最高层级的安全战略规划与决策支持。应利用AI驱动的风险评估工具,通过关联脆弱性扫描、实时威胁情报(包括AI自身从异常行为和对抗性模拟中生成的情报)、资产关键度等,持续分析企业风险态势,为战略决策提供依据。利用AI分析安全开支效率,并推荐最佳资源分配方案,进行合规审计,主动识别潜在合规漏洞并建议纠正措施。提升AI赋能治理、风险与合规(GRC)能力。

实现高度自治的安全运营:核心是结合基线与威胁情报驱动,自动化管理整个事件响应生命周期,实现策略的自主生成与部署。应配置AI管理整个事件响应生命周期,从检测、分析(由基线和威胁情报驱动)到遏制、清除和恢复,安全专家主要负责高风险场景的最终验证。如当AI检测到复杂的勒索软件变种(基于对新型行为的理解和威胁情报更新),能够自主识别受感染主机、通过网络微隔离进行遏制、收集取证数据、分析恶意软件特征、生成修复建议,并自动化部署补丁到未受感染系统,整个过程无需人工干预。并实施生成自主策略,利用AI创建优化的安全策略,以响应新兴威胁或业务需求变化(由AI对最新威胁情报和内部行为基线变化的理解驱动),实现防御态势的持续自适应。同时,强调商业价值,通过L2和L3阶段的小而成功的案例,展示AI赋能的巨大潜力,并以此为基础,逐步扩大应用范围,争取更多预算。持续向领导汇报提高安全运营效率、降低运营成本、提升威胁检测能力、降低安全风险、增强客户信任、提升品牌形象等商业价值。

实现自我修复与韧性增强:核心是赋予系统自我发现问题并自动修复的能力。通过部署AI驱动的漏洞管理解决方案,当AI识别出潜在弱点(如配置错误、未打补丁)时,能够自动启动补丁部署或配置变更。应配置AI系统自动学习并适应全新的攻击模式(通过实时调整基线和防御策略),展现真正的免疫系统行为,并利用AI辅助大型安全事件后的快速自动化恢复,优化恢复顺序并验证数据完整性,提升AI自身防御的能力。

持续进行高级对抗性测试(AI生成威胁情报):核心是形成AI驱动的攻防闭环,并具备生成高质量威胁情报的能力。应开展AI驱动的红队自动化测试,持续进行自主渗透测试,模拟高级攻击技术,例如AI生成新的漏洞利用变体。并且,利用AI安全系统消费外部威胁情报,并根据观察到的内部异常行为、自身对抗性模拟结果,生成新的、可操作的威胁情报,并将其反馈到防御体系和更广泛的威胁情报社区,提升AI驱动的威胁狩猎与情报生产能力。

完成指标:

  • 自主修复率:AI无需人工干预自动修复漏洞或威胁的比例。

  • 业务连续性韧性评分:模拟或实际攻击期间业务功能稳定性和正常运行时间的量化指标。

  • 自适应防御有效性:AI防御系统在面对此前未见攻击模式时的误报率/漏报率和检测率。

  • 安全投资优化率:通过AI实现的安全投入效率提升和成本降低的量化指标。

主要挑战:

  • AI责任划分:明确AI自主决策可能带来的法律、伦理和道德责任,是治理、风险与合规(GRC)的终极挑战。

  • AI系统安全评估:确保高度自主的AI系统自身不被攻击或滥用。

  • 平衡成本与复杂性:管理AI赋能带来的高昂投入和系统复杂性,考验着AI技术应用深度的管理能力。

实施常见问题与建议

目前各组织正积极利用AI构建主动安全防御,但是国内企业实际实施过程中,仍会常遇到这种挑战和困惑。本节将针对这些常见问题,从操作方面提出具体建议。针对这些挑战,安全牛2025年调研企业用户和厂商访谈,汇总了以下常见问题和建议:

1、企业现在是否应该建设大而全的AI安全应用平台

企业在建设过程中,经常会遇到一个误区,认为一定要建设一个庞大的、无所不能的AI安全应用平台,才能实现安全的智能化主动防御。然而,由于当前AI技术并不成熟,这种大而全的思路,往往会导致项目周期长、投入大、效果不明显,甚至可能项目失败。根据安全牛访谈,在实际项目中,更精细的场景下可以解决AI的误报等问题,快速体现AI的价值,建议AI安全应用平台不应追求大而全,应该小步快跑,精而准地快速实现急需解决的特定精细场景。

安全牛分析与建议:

AI赋能主动防御的价值,智能化的AI安全应用平台建设应该小步快跑,不应追求大而全,而是应体现精而准。简单来说,就是从最容易上手、能够快速产生价值的场景入手,逐步推进平台建设。这种方法的核心思想是:择那这些能够快速解决实际问题、提升安全运营效率的场景,各地着手,逐步扩大应用范围,避免一口吃个胖子再通过不断的反馈和优化,不断提升AI在安全运营中的应用效果。比如知识问答、某类安全事件的溯源和自动化响应。

2、在AI安全应用平台建设过程中会面临哪些数据治理的挑战

在AI安全应用平台建设的道路上,首先会遇到一个巨大的挑战-数据治理。数据是平台的基础,没有高质量的数据,自动化、智能化的安全运营就类似于空中楼阁。并且数据治理问题在现实中,往往比想象的要复杂,经常会遇到以下数据挑战:

数据孤岛问题:组织内部通常配置来自不同厂商、不同型号的安全设备,这些设备产生的数据格式各不相同,彼此之间缺乏互通性,形成一个数据孤岛。

数据质量问题:安全设备产生的数据可能存在错误、缺失、重复等问题,这些质量低的数据会严重影响人工智能的分析和判断,导致误报、漏报等情况。

数据量爆炸问题:随着安全设备的普及和网络流量的增长,安全数据量呈爆炸式增长。如何高效存储、处理和分析海量数据,成为亟待解决的问题。

数据合规性问题:数据通常包含敏感信息,如用户信息、业务数据等。在数据采集、存储、处理和分析过程中,应注意利用匿名、混淆等技术进行处理。

安全牛分析与建议:

因为组织往往忽视在规划阶段对明确数据需求的重要性。没有明确的目标,无法预知为什么需要哪些数据,也无法选择合适的设备,到建设后期才发现数据中断,往往为时已晚,成本高昂。数据是平台的基石。只有打好数据基础,才能充分发挥AI的潜力,让安全运营真正智能起来。企业应规划先行,目标明确:在AI安全应用平台建设之初,需充分了解自身的风险状况和业务需求,明确需要哪些数据来支撑安全运营。例如:若需进行用户行为分析,则需要设备能够提供详细的用户日志,若需进行流量分析,则需要设备能够提供全面的网络流量数据。

设备选型、数据匹配:在选择安全设备时,不仅要关注其功能,更要关注其数据输出能力,确保能够提供所需的数据。可以要求设备厂商提供详细的数据字典,了解其数据格式和内容。

分阶段数据整合与标准化:不要试图一步步完成所有数据的整合。建议从核心业务系统和高价值安全日志开始,逐步将日志、流量、终端数据等整合到统一的安全数据库或安全数据中台。优先进行数据的标准化和归一化处理,统一数据模型。

应用隐私计算技术:对于涉及个人信息和敏感业务数据,应优先采用数据脱敏、匿名化或假名化处理。积极探索和应用联邦学习、差分隐私、同态加密等隐私计算技术,以在保护隐私的前提下实现数据价值的最大化,满足严格的合规要求。

重视数据标注与反馈:建立数据标注规范和流程,形成持续收集高质量的威胁样本和正常行为数据进行标注。同时,将AI模型输出的分析结果与人工复核结果闭环,持续反馈以优化数据质量和模型性能。

3、融合困惑:烟囱效应、与现有体系冲突

AI能力往往以独立产品或模块的形式存在,难以与企业现有的SIEM、EDR、防火墙、身份管理等系统有效联动,导致新的安全孤岛,反而增加了威胁检测与响应的复杂性。

安全牛分析与建议:

构建统一的威胁检测与响应平台:采用平台化思维,将AI能力作为平台的核心组件或智能层,而不是独立的产品。提供统一的数据接口、API和事件接口,实现各安全产品的数据共享和能力协同。将是打破通报效应的根本途径。

推动标准化接口与协议:鼓励和推广使用通用接口标准(如OpenC2、STIX/TAXII)和开放API,促进不同安全产品和AI模型之间的数据互通和指令联动,确保可插拔性和互操作性。

优化安全流程与工作流程:明确AI在安全事件处理流程中的角色(如辅助分析、风险建议、自动化执行)。对现有安全流程进行梳理和优化,确保AI能够无缝适应事件响应、威胁狩猎等工作流程,实现人机协同的无缝衔接,避免重复或冲突。

强调能力而非产品:在规划AI安全建设时,企业应重点构建AI赋能的威胁捕获能力、自动化响应能力、风险管理能力,而不是简单地堆砌AI安全产品。有助于从设计方面集成避免陷入困境。

4、企业应选择本地还是云端的AI部署模式?

企业在建设AI安全应用平台时,面临的一个关键决策是选择哪种部署模式:本地部署、云端或混合模式。不同的部署模式各有优劣。

本地部署模式:

本地部署可以更好地满足其对数据安全、隐私保护和自主可控的要求,并能够更灵活地进行定制化开发和集成。大型组织通常拥有庞大而复杂的自主IT基础设施、完善的安全运营体系和专业的安全团队,面临复杂的安全威胁和严格的合规要求,安全预算相对充裕,对数据安全和可控性有更高的要求。建议对于具备以上特点的大型组织,本地部署可以更好地满足其对数据安全、隐私保护和自主可控的要求,并能够更灵活地进行定制化开发和集成。但是注意,本地部署平台的前期投入,需要专业的团队进行建设和运维。

云端模式:

云端模式可以降低平台的建设和运维成本,并提供专业级的安全运营服务,中小型组织的特点是IT基础设施相对简单,安全团队规模有限或缺乏,安全预算有限,对安全运营的专业性要求较高,但自身难以满足。建议中小型组织选择云端的平台通常是更经济、更高效的选择,可以使中小型组织也能够享受到先进的安全防护能力。

混合模式(本地+云):

混合模式结合本地部署和SaaS模式的优点,可以根据不同的业务需求和安全需求,将不同的安全功能部署在本地或云端。建议对于一些大型组织,可以考虑采用混合模式。可以将核心的安全数据和安全功能部署在本地,将一些非核心的安全功能部署在云端,或者将云端作为本地平台的补充和扩展。

安全牛分析与建议:

企业在选择平台部署模式时,需要综合考虑并根据自身的实际情况做出最佳选择,包括:

专业的安全运营团队。自建平台需要专业的安全团队进行建设、运维和管理。如果企业缺乏专业的安全团队,云端的平台或托管安全服务(MSSP)可能是更合适的选择。

IT基础设施和安全体系。企业要考虑IT基础设施的规模和复杂程度,平台需要与现有的IT基础设施进行集成。如果IT基础设施庞大而复杂,本地自建平台的负载和成本会更高。并且平台需要与现有的安全设备和系统进行联动。如果企业缺乏基本的安全设备和能力,平台可能无法有效地工作。

数据安全性和合规性。对于数据安全和隐私保护有要求的企业(例如金融、医疗等行业),可能更倾向于本地自建平台,以保证数据的安全和可控。

预算和成本。本地自建平台的前期投入较多,包括硬件、软件、人力等方面的投入。SaaS化的平台通常采用订阅模式,前期投入较低,但长期成本需要综合考虑。

定制化和灵活需求。不同的企业面临不同的安全需求和合规需求,本地自建平台可以提供更高的定制化和灵活性,但需要更强的技术实力。云端的平台提供的功能通常是标准化的,定制化能力有限。并且本地自建通常更容易实现与其他内部系统进行深度集成。

5、如何转变思路,从而获得高层领导的支持?

在平台建设过程中,经常会遇到这样的挑战:如何让领导充分了解平台的价值,并持续投入经费?毕竟建设需要资金的支持。如果无法证明平台的价值,就很难获得领导的支持。要解决这个问题,需要转变思路,从技术驱动转变为价值驱动,用数据说话,用事实证明平台能够为组织带来真正的价值。

安全牛分析与建议:

领导关注的不是技术本身,而是技术能够带来的价值。用数据和事实,赢得领导的信任和支持:

明确指标量化:在AI安全应用平台建设之初,需要设定明确的量化指标,如事件响应时间、威胁监测率、运营成本降低等。这些指标应该与组织的业务目标相关联,能够清晰地反映平台的价值。

持续测量效果:通过持续测量和分析,可以了解平台的实际效果,并及时调整优化。可以定期发布平台的运营报告,向领导展示其成果和价值。

可视化展示:将量化指标和分析结果以可视化的方式呈现,一目了然地了解平台的价值。可以采用图表、仪表盘等方式,直观地展示平台的运营情况。

从点着手,逐步扩大:通过一个小而成功的案例,展示平台的潜力,并以此为基础,逐步扩大应用范围,争取更多预算。可以选择一些容易量化和展示的场景,如知识问答、事件溯源等。

强调商业价值:不仅要强调平台的技术优势,更要强调其商业价值。例如:平台可以提高安全运营效率,降低运营成本;可以提升威胁检测能力,降低安全风险;可以增强客户信任,提升品牌形象。

构建安全运营成熟度模型:使用该模型来简化组织在流程、技术和人员方面的成熟度。通过评估模型显示持续性的改进,对于获得更多的预算和保持持续性改进至关重要。

6、复合型人才稀缺、运维缺口

问题描述:市场上既懂网络安全攻防又懂AI技术(如机器学习、深度学习)的复合型人才极度稀缺。现有安全团队可能难以有效部署、调优、运维AI模型,也无法充分利用AI的分析结果。

安全牛分析与建议:

内部培养与外部引进结合:鼓励现有安全成员学习AI基础知识,提供相关的培训课程和认证机会,提升其AI素养团队。同时,逐步引进具有AI背景的安全数据科学家、AI安全工程师或AI算法工程师,补充核心技术力量。

构建人机协同的工作模式:强调AI是安全分析师的助手,将AI擅长的重复性、高强度数据分析和模式识别任务替换AI,让人工专注于高价值的研判、复杂事件分析、威胁和策略优化。通过持续的实践培养分析师与AI协同的能力。

依赖厂商服务与生态合作:针对自身AI能力不足的企业,中小企业可提供完整的AI解决方案和托管运营服务,逐步培养内部团队。积极参与行业交流和生态合作,获取成功经验,获取技术支持和人才资源。

注重运营自动化与模型管理:利用自动化运维工具进行AI模型的部署、监控、更新和性能调优,降低日常运维复杂度。建立AI模型生命周期管理(MLOps)流程,保证模型的持续学习、版本控制和性能管理。

合作电话:18311333376

合作微信:aqniu001

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
匈牙利前外长加入比亚迪:我收到“一份来自全球领先企业之一的极具声望的邀请”

匈牙利前外长加入比亚迪:我收到“一份来自全球领先企业之一的极具声望的邀请”

红星新闻
2026-07-16 18:13:13
回归“一页纸”,清华大学录取通知书到了

回归“一页纸”,清华大学录取通知书到了

澎湃新闻
2026-07-17 11:58:10
不反华了?美媒公开赔罪,中国54岁铁娘子出山,中美稳定利好全球

不反华了?美媒公开赔罪,中国54岁铁娘子出山,中美稳定利好全球

知法而形
2026-07-07 16:10:54
当年中国化工490亿美金买下先正达,如今9年过去,赚了多少?

当年中国化工490亿美金买下先正达,如今9年过去,赚了多少?

兵鉴史
2026-07-17 11:49:27
非夫妻开房,民警直白提醒:不碰这条红线,没人管你是不是夫妻

非夫妻开房,民警直白提醒:不碰这条红线,没人管你是不是夫妻

皓皓情感说
2026-07-01 09:05:51
“糖化血红蛋白”升高就是糖尿病?记住“6.5%”和“7.0%”

“糖化血红蛋白”升高就是糖尿病?记住“6.5%”和“7.0%”

周哥一影视
2026-07-18 04:44:55
Foot Mercato:萨拉赫同意加盟贝西克塔斯,签1+1合同年薪约1000万欧

Foot Mercato:萨拉赫同意加盟贝西克塔斯,签1+1合同年薪约1000万欧

甜份超标的我
2026-07-18 01:57:11
官降12万!奥迪突然官宣,再次降价

官降12万!奥迪突然官宣,再次降价

科技堡垒
2026-07-15 09:45:24
DO:拉什福德4000万镑解约条款到期,他拒绝了待遇更高的报价

DO:拉什福德4000万镑解约条款到期,他拒绝了待遇更高的报价

懂球帝
2026-07-17 05:17:21
61岁传奇超模意大利完婚,曾对爱情绝望:大龄女性在约会软件上如同隐形

61岁传奇超模意大利完婚,曾对爱情绝望:大龄女性在约会软件上如同隐形

浅遇时光
2026-07-17 00:18:37
带火“前额叶育儿”,这位神经科学博士爸爸,让全网百万粉丝破防

带火“前额叶育儿”,这位神经科学博士爸爸,让全网百万粉丝破防

阅读第一
2026-07-16 08:35:25
我搭伙过3个男人,发现男人过了50岁还找女人,无非就三个原因

我搭伙过3个男人,发现男人过了50岁还找女人,无非就三个原因

千秋文化
2026-07-15 19:53:34
戈森斯:没想到以这样的方式告别,被排除出名单让我深受打击

戈森斯:没想到以这样的方式告别,被排除出名单让我深受打击

懂球帝
2026-07-18 02:11:06
60 万亿规划落地!《求是》定调:稳楼市才有消费底气

60 万亿规划落地!《求是》定调:稳楼市才有消费底气

成都撩房君
2026-07-17 01:31:46
特朗普:你们竟然还敢反华?

特朗普:你们竟然还敢反华?

智先生
2026-07-16 23:54:12
随着郑钦文0-2无缘四强,诞生5个意想不到,球迷发出3个疑问

随着郑钦文0-2无缘四强,诞生5个意想不到,球迷发出3个疑问

南海浪花
2026-07-18 05:15:09
何院士发文挺蒋方舟、贾浅浅!为学术抄袭开脱,院士言论触碰底线

何院士发文挺蒋方舟、贾浅浅!为学术抄袭开脱,院士言论触碰底线

蝴蝶花雨话教育
2026-07-18 00:20:08
黄晓明录制新综艺,增高鞋不离身,被网友问话:是焊在脚上了吗

黄晓明录制新综艺,增高鞋不离身,被网友问话:是焊在脚上了吗

星宿影视鸭
2026-07-17 20:10:49
周星驰《功夫女足》进入2026年度票房榜前五,上映7天票房已超10.68亿,观影人次破3000万

周星驰《功夫女足》进入2026年度票房榜前五,上映7天票房已超10.68亿,观影人次破3000万

极目新闻
2026-07-17 21:08:58
局势升级!多国被卷入,特朗普:打到我说够了为止

局势升级!多国被卷入,特朗普:打到我说够了为止

最新声音
2026-07-18 05:59:38
2026-07-18 06:51:00
安全牛 incentive-icons
安全牛
信息安全新媒体
4692文章数 5976关注度
往期回顾 全部

科技要闻

WAIC2026看什么?这份"不迷路"攻略请收好

头条要闻

重庆山体崩塌致8死34人失联 前后对比图披露

头条要闻

重庆山体崩塌致8死34人失联 前后对比图披露

体育要闻

30亿欧对决,世界杯季军战毫无意义?

娱乐要闻

曲婉婷自爆患癌!全网喊“苍天绕过谁”

财经要闻

梁文锋不需要天才

汽车要闻

把中国超跑卖到英国,比亚迪正在被世界看见

态度原创

游戏
本地
艺术
健康
公开课

悬赏上万美元破解PS5!硬刚索尼封闭生态

本地新闻

十年了,为什么鬼怪CP还能让人美美嗑上?

艺术要闻

被遗忘的国家主席,书法写得真好啊!

刮痧也会刮出脑梗?讲个真实案例

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版