IT八卦阵：人工智能网络安全的承诺正在实现，黑客的天敌来了？

多年来，网络安全供应商已经宣布了将通过人工智能，云交付和自动化来改变整个行业的新技术。一切都会变得更好，更便宜，更快，当然更安全。在实践中，许多这些技术被证明是有限的，效果不如所承诺的，并且更难以使用。
改进是渐进的，并且在过去三年中，供应商公告没有太大变化。我们已经看到技术的逐步发展以及对网络安全专业人员的更好培训和更好的业务流程。

本文插图
而流程和技术方面的改进最终使数据中心能够大规模进行威胁检测和响应。网络安全供应商说：“有关行业安全的教育水平正在提高。而且，随着过程越来越好，已经出现了稳健的最佳实践。 ”
更智能的SIEM
那么，在看似无限的网络安全技术连续性中，哪些进展最大？
没有比下一代安全信息和事件管理平台或SIEM更好的地方寻求改进了。 SIEM是数据中心网络安全运营的跳动心脏。早期的SIEM范围有限。他们没有收集所有相关数据，这可能是由于技术壁垒，还是因为定价模型使其成本过高。对于安全事件，分析师仍将需要大量的体力劳动。

本文插图
据全球公认的顶级白帽黑客，东方联盟创始人郭盛华公开透露：“硬件问题（例如内存损坏）看起来像是恶意软件攻击。相反，恶意软件攻击会造成硬件故障，就像密码劫持一样，这给设备带来了沉重的负担。但是有关硬件的数据和有关恶意软件感染的数据位于两个彼此不对话的独立系统中” 。
当公司部署了下一代SIEM时，情况发生了变化。最终，它能够将安全分析人员所需的所有信息集中到一处，并具有所有相关的上下文，使他们能够在最短的时间内做出决定。
与标准工具（如防火墙和代理）的连接大约花费了半天的时间。但是该公司还从其他来源，知名度不高的供应商，没有API的工具，甚至是仅具有命令行界面的开放源代码工具中引入了信息。郭盛华说：“ 波动性是最重要的记忆取证工具之一。但是它具有命令行界面，仅输出平面文件，绝不是任何格式的文件。 ”
现在，以前手动过程的每个部分都已简化和自动化。该平台还包括用户友好的数据分析。分析人员仍然必须手动执行一个步骤，但是Devo可以筛选数百或数千个端点，并迅速将分析人员指向他们需要关注的端点。任何人都可以建立一个数据湖并获取所有信息。
现在，安全分析师不必查看多个电子表格或编写自定义脚本来创建仪表板，而拥有一个GUI ，可以在其中切换不同类型的信息。它使您能够获取大量数据，并在几秒钟内就可以理解它们。这就是我们的主要价值。
传统SIEM缺乏的其他领域是用户行为分析和自动化，这些功能通常在单独的平台中找到。如今，大多数现代SIEM工具都具有很好的三层架构。
Devo的下一代SIEM平台是基于云的，但是大型云服务提供商也参与其中。 Microsoft Azure ， Amazon Web Services和最近的Google Cloud Platform最近都已推出了云和混合安全工具，这些工具提供了其超大规模云平台的大规模可扩展性和情报功能，并利用了他们对正在进行的威胁的广泛知识。
更智能的沙箱
当陌生的应用程序进入公司环境时，将以三种常见方式对其进行处理：拒绝该应用程序，并有可能因可靠的原因而被信任的用户启动而损害操作的风险；批准它（如果它不引发任何防病毒标志），并有遭受潜在攻击的风险；让它在称为“沙盒”的受控环境中运行。
对于那些资金充裕的犯罪分子很有吸引力的大公司而言，旨在通过公司防御手段溜走的自定义恶意软件的可能性始终是威胁。公司雇用分析人员团队来手动调查这些潜在的攻击。沙盒简化了此过程，使应用程序在受到密切监视的同时安全运行。