IBM 商业价值研究院 | 对标洞察人工智能和自动化助力网络安全领导者如何统筹技术和人才以取得成功 2IBM Security 致力于运用机器学习和自然语言处理等 AI 技术来助力安全运营分析师从容应对最新威胁、缩短响应时间以及降低成本。如需了解更多信息 ，请 访 问：ibm.com/security/artificial-intelligenceIBM 如何提供助力 1安全事件快速增长，采用全新的安全运营方式已是势在必行AI 和自动化有助于提高整个安全运营的可见性和生产力。领先的 AI 采用者正在监控 95% 的 网 络 通 信，并 将 事件 检测时间缩短了三分之一。AI 在安全领域的应用日益增长根据调研，高管已在安全运营中广泛采用 AI。93% 的受访高管表示已经部署或正在考虑部署 AI。采用安全 AI 的领导者正在改进关键成本绩效指标绩优型组织将其安全投资回报率 (ROSI) 提高了 40% 或更多，并将数据泄露成本降低了至少 18%，从而腾出资金再投资于其网络安全团队。通过减轻日常任务负担，人工智能和自动化让网络安全团队能够将其稀缺专业知识应用于最迫切需要的环节。摘要 2快速变革加剧网络风险2021 年，网络安全威胁事件大幅增长。美国 Colonial Pipeline 公司和一些水处理设施的系统就遭受了攻击。1 根据最近的一项研究报告，从 2020 年到 2021 年，勒索软件攻击事件增长了 105%，其中制造业是受攻击最多的行业。2 在过去的一年中还发生了一些迄今为止影响最大的供应链攻击事件。从 SolarWinds 漏洞利用、Microsoft Exchange Server 漏洞利用到 Apache Log4j 漏洞，各种重大网络攻击事件屡见报端，促使企业领导者及其客户增强警醒意识。3是什么因素导致了当今形势剧变？简而言之，新冠疫情加速了数字化转型，也放大了机遇和风险。4 如今，远程工作者的数量大幅增长。云用户和云服务的数量突飞猛进。许多基本系统都与第三方合作伙伴实现了集成。数量庞大的边缘设备正在将物联网数据传输到云端。各种设备互联互通，相互依存，实现高级连通性，创造价值的速度和规模均达到空前水平。创新一方面创造了效益，但另一方面也是有代价的：新的设备、新的合作伙伴和新的集成大幅扩大了组织的整体受攻击面。各种新的威胁途径也层出不穷 — 从不知情的供应商到心怀不满的员工，从数据泄露、拒绝服务攻击到勒索软件。更复杂的是，威胁行为体在不断进化其策略、技术和程序，开始运用人工智能 (AI) 和自动化来探测弱点并发动更有效的 攻击（ 见 图 1）。5最终结果是，许多高管都清楚认识到：当今的“不间断”数字化运营一方面在创造价值，但另一方面也会产生新的漏洞。尽管先进技术服务实现了效率提升，但许多组织正逐渐意识到其数字足迹充满了复杂性和未知数。除了形势变幻莫测以外，人手不足的安全团队也在疲于应对来自不同来源的海量数据（但往往缺乏洞察）和各种各样的工具。即使是知识丰富的安全专家，庞大、人才济济的网络安全运营团队，也往往无力应对上述挑战。现代数字运营一方面在创造价 值 ，但 另 一方 面 也 会 产 生新的漏洞。 3针 对当前 的 运 营 现 状 ，采 用 一 种 全新的安全方案势在必行为了助力团队取得成功，网络安全领导者需要采用一种更加主动式和预防性的安全方案来保护核心业务运营。我们的研究表明，越来越多的组织开始采用前瞻性的威胁管理 方法，利用 AI 驱动的自动化流程来改善洞察力、生产力和规模经济。AI 技术可以通过四种关键方式推动安全转型： –机器学习功能有助于识别模式、盘点新资产和服务以及改进 AI 模型的性能。 –推理功能有助于为数据分析提供信息、增强场景建模以及预测新的攻击途径。 –自然语言处理可用于挖掘文本数据源、增强威胁情报以及充实知识资源。 –自动化有助于协调时间密集型任务、加快响应速度以及减轻人类安全分析师的负担。 总 的 来说，这 些功 能 可共 同 推 动 安 全 运 营 转 型 。本报告展示了人工智能与自动化相结合将如何大幅改善速度、洞察力和灵活性。在实现这些绩效改进之后，网络安全团队可以专注于处理真正重要的事项，即主动防范、检测和响应威胁并从中恢复，同时降低成本和复杂性。图 1 安全巅覆者安全运营团队面临新的挑战新的和不断扩展的攻击途径攻击者正在转向自适应、多变体的威胁形式攻击者开始利用自动化技术缺乏可见性以及与第三方供应商的协同缺乏跨不同数据类型（元数据、上下文、行为）的洞察力来自不同数据源和工具的信息过载网络技能差距和能力限制 4AI 在安全领域中的应用逐渐加速为了解组织如何运用 AI 来支持安全运营并量化其对网络安全绩效的影响，IBM 商业价值研究院 (IBV) 与美国生产力和质量中心 (APQC) 开展合 作，对 1000 位全面负责组织信息技术 (IT) 与运营技术 (OT) 网络安全的企业高管进行了调研。这些高管来自全球 5 个地区的 16 个 行 业（参见 第 32 页 的“ 研 究 和 分析方法 ”）。我们请求受访高管提供其组织安全部门绩效的相关信息以及他们在多大程度上运用 AI 和自动化来管理网络风险和合规性。他们还描述了如何运用 AI 来支持保护和预防流程以及检测和响应流程的安全运营。我们利用这些洞察来评估 AI 对网络安全绩效的影响，主要包括生产力、弹性和相关业务收益。总体而言，我们发现全球范围内各个行业的大多数企业正在考虑或正在其安全部门中采用 AI 和自动化。64% 的受访高管表示已在至少一个安全生命周期流程中实施了 AI 来支持 安 全功 能，而 29% 的受访高管表示正在考虑实施 AI。换句 话 说，基 于 AI 的安全功能可能很快成为一种近乎普遍的能力（见图 2）。其 余 7% 的受访高管表示并不考虑将 AI 和自动化应用于安全运营，他们正将自己置于危墙之下，非常有可能会无力应对快速增长的安全事件。图 2 广泛采用只有少数组织未考虑在安全运营中使用 AI93% 的组织正在使用或考虑使用 AI7% 的组织不考虑使用 AI 第 1 章 5目前，64% 的受访组 织 正在试 用、实 施、运营或优化 AI 安全解决方案。我们将这部分组织称为“AI 采 用 者 ”。尽管 AI 在安全领域中的应用仍处于初期阶段（大多数组织应用 AI 不超过 2 年时间，也仍在使用传统环境），但预计未 来会迅 速普及。就 AI 的 具体 应 用 而 言，在 保 护和预防功能中应用 AI 的 AI 采用者比例预计在未来三年内平均将增长约 40%，而在检测和响应功能中应用 AI 的 AI 采用者比例预计也将实现相同的增长。与其他调研的结果相一致， 本次调研预计 AI 在安全领域的应用也将加速增长。我们近期的研究预测，在 2027 年之前，与网络安全相关的人工智能支出将保持 24% 的复合年增长率。到 2027 年，这一支 出 将达 到 460 亿美元。6技术和人才发挥积极成效AI 采用者认识到 AI 驱动的洞察和 AI 驱动的自动化可为其安全主题专家的专业级识别和响应能力提供有力补充 。他 们 发 现 ，安 全 AI 系 统 能 够 有 效识 别 异常 行 为、动态评估漏洞以及标记异常活动（表示可能存在新威胁），其能力丝毫不亚于经验丰富的安全分析师。65% 的 AI 采用者表示，AI 的应用对其安全运营产生了重大积极影响（参见第 7 页的图 3）。但与人类安全分析师不同的是 ，安 全 AI 可以运用机器学习和自动化来满足混合多云运营对于超高速度和超大规模的要求 — 其一致性和深度要远远超出顶级资深安全专家的能力。（参见观点 ：“ 安 全 AI 为何如此有效 ？”）5例 如，组 织可以 应 用 AI 来跟踪正常行为以及实现模型构建自动 化 。为此，AI 安全解决方案会标记与预期行为的差异，并分析异常路径的威胁影响。57% 的 AI 采用者认为增强威胁响应以自动遏制威胁以及优化业务连续性可发挥最重大的影响力。通过理解上下文中的异常活动，AI 安全解决方案可以确定哪些安全策略和控制存在风险，运用相关洞察作为预警的强力补充，然后启动规范化补救措施。这种为人类专家充当“网络助手”的方式突显了安全 AI 最重要的一项优势：减轻面临技能和资源持续短缺的安全团队的压力。60% 的 AI 采 用 者 表 示，自 动 化 数 据 充实和第二屏功能可帮助安全分析师提高运营效率，从而大幅增强安全部门的效能。AI 威胁模型可以参考较长时间范围内和各种运行状况下的更多事件，因此可以引入专家级功能来应对让人类分析人员束手无策的威胁。借助 AI 生成的洞察，AI 驱动的自动化功能可以按用户、设备或位置隔离威胁，然后发出适当通知并启动适当上报措施，并由人类专家来确定最佳调查和补救方案。对于已经开发这些功能的组织，网络安全分析师可以开始专注于真正重要的事项：不断提升技能和专业知识以解决更复杂、只有人类能够做出判断的问题。 6为了防御不断扩大的受攻击面以及应对大幅增长的安全事件，安全 AI 和自动化正迅速成为必备能力。AI 为何如此有效？简而言之，这得益于迭代机器学习与分析模型调优的融合。调优是优化分析模型性能的过程，但不会过度依赖于在不同情形中会发生变化的变量。在后台，机器学习算法运用无数样本来识别模式并学习如何有效响应不同的变量。此训练 过程 是改 进 AI 模型性能效果的关键。通过机器学习提高模型精确率和召回率，AI 安全解决方案可以有效区分实际安全威胁（真阳性）与普通事件（假阳性和真阴性），从而帮助安全分析师减轻预警疲劳（见下图）。这些解决方案可以对大多数安全事件进行鉴别分类，利用上下文数据洞察作为这些事件的补充，然后为安全分析师的检查和调查活动提供支持。通过利用 AI 来提高信噪比，安全分析师可以专注于处理构成最大风险的实际威胁。观点安全 AI 为何如此有效？真 阳性假 阳性假阴性真阴性检索到的元素相关元素有多少检索项具有 相关性？精确率 =检索到多少相关项？召回率 =信息 来源：改编自 https://en.wikipedia.org/wiki/F-score6 7AI 可以分析非结构化和结构化数据源（利用威胁情报服务和开源网络情报 (OSINT) 整 合 内 部 和 外 部 数 据 ），因此可以提供情境化变量和情境化威胁的全面画像。对于网络安全分析人员来说，这有助于减少检测、响应和从事件中恢复所需的时间。通过实现更加高效的上报、审查和补救程序，AI 可有效增强安全治理和合规性。通过自动处理耗时的重复性任务，AI 可以帮助分析人员减轻疲劳并做出更加合理和明智的决策 — 速度更快且错误更少。安全 AI 和自动化解决方案可以分发大量事件，从而让领导者能够充分利用优秀人类分析师的稀缺性技能。这最终将打造一个更加充实、丰富和令人满意的工作环境，从而在吸引和留住稀缺性网络安全人才方面发挥重要影响力。成功融合 AI 洞察、自动化与员工专业能力的 AI 采用者指出，AI 应用对其安全成效产生了更加积极的影响（参见图 3）。67% 的受访高管表示，更有效地对第 1 层威胁进行鉴别分类有助于消除与基本检测相关的成本和时间 。另有 65% 的受访高管表示，减少误报和噪音减少了人类安全分析师的检测工作量。65% 的受访高管表示，应 用 行为分析可 有 效 支 持 预 测 未 来 威 胁，这 是 提 高主动性的重要步骤。人工智能和自动化让安全分析师能够重新关注需要人工判断的复杂问题，从而创造更加充实和丰富的工作环境。 图 3AI 的优势AI 采用者利用 AI 解决方案来支持关键功能，从而改善绩效问：以下 哪 项 AI 应用对您组织的安全运营具有最大影响力（选择前 5 项 ）？第 1 层威胁分类用户行为与威胁指标的 相关性67%66%61%检测零日攻击和威胁65%76050预测未来威胁 减少误报和噪音 88 月 19AI 投资回报可观据 估 计，到 2025 年，网络犯罪给全球经济造成的损失将达到平均每年 10.5 万