尋找屬於您的資安人工智慧

人工智慧已成為長久以來的流行詞彙，廣泛運用於消費領域、社交媒體、電子商務，甚至我們個人的音樂偏好。近年來，它也逐漸開始踏入企業領域，尤其在資安方面展現其重要性。

不僅如此，攻擊方也開始在威脅技法中利用人工智慧。在人工智慧技術不斷進步、入門門檻低且攻擊方有利可圖的情況下，各方企業在劫難逃。一份調查金融服務業和製造業等各類行業資安決策人員的資料顯示，77％的受訪者認為武器化的人工智慧科技將導致攻擊規模與速度增長。

為了對抗人工智慧的攻擊技術，資安團隊也持續加強自身人工智慧的應用。調查結果顯示超過 80% 的受訪者認為，企業組織需要更進階的防禦措施來對抗具攻擊性的人工智慧，導致兩方陷入「網路軍備競賽」，在這個循環中不斷追求最新的技術，與時俱進。

在不斷演進的威脅環境中，使用規則和特徵碼的資安技術已不足以對付攻擊，也因此推動了該領域中人工智慧的創新。到 2025 年，網路安全技術預計會占人工智慧軟體市場 25% 。

儘管人工智慧無與倫比的魅力，許多人對其運作方式的理解卻十分有限，但也正是該技術的神秘面紗引起許多專業資安人員的興趣。現今各行業都了解人工智慧是企業進步的必備工具，但關於人工智慧和機器學習龐大且複雜的資訊使資安團隊卻步，而多重選擇的悖論也導致團隊對他們的所擁有各種選項感到困惑且困擾。

辨識真正的人工智慧

在開始使用人工智慧技術前，首先必須明確定義出欲解決何種問題。這似乎簡單易行，但許多資安團隊卻常常忘記回歸基本：您正面臨哪些問題？您想要改善什麼？

事實上，並不是每個流程都需要人工智慧的技術。有些流程僅需要自動化，而這些皆是企業操作中較簡單明瞭的部分；更複雜龐大的系統則會需要人工智慧技術。關鍵在於識別企業中哪些部分有相關的需求，並應用人工智慧技術清晰而確切地達成所要的目標。

舉例來說，當需要執行工廠機具操作或追蹤員工休假日時，企業會採用自動化技術；但當涉及到公關策略或新業務開發等商業決策時，則會運用人工智慧來預測趨勢並協助企業作出這些決定。在使用人工智慧技術時，必須清楚確定其適用範圍，方能有效地提升企業效益。

同樣地，在網路安全領域中，當遇到已知的威脅，諸如惡意軟體和網站等，自動化技術能夠有效追蹤它們，並將工作流程和劇本最佳化；但當遇到未知的未知，像是零日攻擊、內部員工威脅、物聯網威脅和供應鏈攻擊時，企業則必須仰賴人工智慧來偵測並回應其所帶來的威脅。

自動化技術常常被視為人工智慧，使資安團隊很難辨識其差異。自動化可以協助您快速執行事先已經決定好的決策，而真正的人工智慧則能幫助您做出更佳的決策。

如何辨別真正的人工智慧與自動化技術差異的重點整理：

• 資料集：在自動化中，您已經清楚知道執行的方向和範圍，只是透過規則和特徵碼加速流程。而真正的人工智慧是動態的；您不再需要為它定義其需注意的可疑活動，因為它會為您凸顯需優先處理的部分。

• 偏見：當您在定義目標時，人類本質上會在這些決定中加注自己的偏見。我們也會在決策時還受限於當時所擁有的知識，遺漏關鍵性未知的未知。

• 即時性：每個組織都在不斷變化，而人工智慧必須考量所有相關數據。真正能夠隨著組織成長且即時做出改變的人工智慧相當罕見。

我們的人工智慧研究中心發表了多篇關於真正人工智慧於網路資安領域的應用。研究中心擁有超過150名成員，以及超過100個審核中與已經擁有的專利。其中一些精選的白皮書包含攻擊路徑模型的研究，以及將人工智慧作為預防性防護應用於企業團隊。

將人工智慧與人員、流程和技術整合

將人工智慧與人員整合

我們生活在一個信任危機的時代，而這也適用於人工智慧。身為人類，我們對於人工智慧可能都會感到懷疑。我們該如何建立對人工智慧的信任，利用它協助我們執行工作？這的問題不僅針對使用者，也是整個企業團隊的疑問。此人為要素必須透過教育訓練、企業文化和不斷接觸的過程中建立對人工智慧的信任。在一個願意學習並嘗試新的人工智慧技術的企業文化下，人員會自然地逐漸對人工智慧建立起信任。

將人工智慧與流程整合

該整合關鍵在於如何將人工智慧及其輸出加入您的工作流程和劇本中。在做出相應的決策之前，資安管理人員需明確了解其企業資安中必須優先處理的事項，或希望哪一項特定技術能夠填補哪些資安缺失。無論您擁有外包的MSSP/SOC團隊，或50人的強大資安監控中心（SOC）內部團隊，還是僅為2人團隊，都要了解您的優先處理事項，並為其分配適當的資源。

將人工智慧與技術整合

最後，人工智慧與現有技術架構的整合也是資安團隊需要考量的問題。資安團隊通常會部署各種工具和服務以達成各項目標，無論是SIEM、防火牆、端點或類似滲透測試、漏洞評估等服務。其中最大的挑戰之一就是將所有的資訊整合並從中取得可行性的洞見。由於不同的技術會對威脅有著不同的評判標準或解釋，複雜的技術在進行多層次的整合時皆具有相當的挑戰性。

資安團隊常常花費許多時間去理解不同工具和服務的輸出。例如，依照滲透測試報告的結果優化自動化及響應（SOAR）配置，或檢視SOC警報以建議防火牆配置，或從漏洞評估報告中訂定第三方事件應變團隊。

這些工具可以強大地掌握大量的數據，但最終知識的擁有權仍應歸於人工團隊，而實現這一點的方式就是透過持續的反饋和整合。因此，如果需大規模且迅速執行反饋與整合的工作，人工團隊將處於效率的弱勢。

Darktrace Cyber AI Loop資安解決方案包含四個產品系列，針對各種企業網路狀態建構出完整的資安防護。Darktrace PREVENT（預防）、DETECT（偵測）、RESPOND（回覆）和HEAL（修復）四個系列互相銜接，不斷強化彼此的能力，形成一套連貫的良性循環。

此循環在事件生命週期的每個階段都能強化資安團隊的辨識能力。PREVENT可能會警示您組織中具有高風險可能的漏洞，提供明確的建議措施。PREVENT也會反饋給DETECT和RESPOND，當攻擊發生時立即啟動。當RESPOND已控制住攻擊，系統會將資訊反饋給PREVENT，以便預測攻擊方下一步的行動。Cyber AI Loop全面性強化資安，幫助企業組織持續改進其防禦姿態。

可解釋人工智慧（Explainable AI）

儘管人工智慧能提供的幫助相當繁複且多元，它仍需要產生清晰易懂的輸出才能發揮其作用。在網路事件發生時，資安團隊需要快速釐清：發生了什麼？何時發生的？哪些設備受到影響？對我的企業造成什麼影響？我應該優先處理什麼？

為此，Darktrace增加了另一個人工智慧級別，以自主調查的方式在背景中進行，從而將大量的個別資安事件減少到僅少數需進行實際人工調查的整體網路事件。此外，它還生成自然語言的事件報告，提供您的團隊所有相關資訊，協助您做出即時判斷。

Cyber AI Analyst不僅考量網路偵測的部分，還包括端點、雲端、物聯網和OT，關注您的攻擊面與分流相關的風險。此外，系統會顯示若發生意外攻擊時，您的組織中可能出現的嚴重損害優先警報。該技術不但會提供即時洞察，也會針對您的環境提供專屬的建議。

此外，這也有助於對付另一個在討論人工智慧時經常出現的話題：假陽性。當然，這是一個合理的問題：如果使用人工智慧意味著一個小團隊現在必須查看數千個警報，那還有什麼意義呢？但我們必須記住，儘管人工智慧讓我們在數量龐大的日誌中找出並建立更多的關聯性，它的最終目的並不是為資安團隊帶來更多的工作，而是協助強化團隊的能力。

為確保您的企業能夠繼續擁有這些人工智慧輸出，以及更重要的人工智慧相關知識，您需要Darktrace Cyber AI Analyst的可解釋人工智慧進行解析，以確保團隊充分了解整體狀況、人工智慧採取了什麼行動及其原因。

結論

每個組織都是獨一無二的，而其資安應該反映出個企業的獨特性。然而，人工智慧在網路安全中所面臨的一些基本且常見挑戰，是所有資安團隊的共同點，不論其規模、資源、企業垂直面或文化如何；他們的區別是在於資安戰略與成熟度。成熟度不是由團隊擁有多少專業證書或多少年經驗來定義的，而是由團隊共同解決問題的效率來衡量。一個有效的團隊了解雖然人工智慧不是萬能的，但若正確使用便可以自動強化整個數位生態系統的安全性，同時增強團隊人員的資安防禦能力。

作者

Germaine Tan 陳姝廷
Darktrace亞太區資訊安全風險管理副總