作者：来自 Elastic Elastic Security Team

安全领域的 AI 采用：主要用例和需避免的错误

人工智能（artificial intelligence - AI）在安全领域的广泛应用呈现出一种矛盾。一方面，它帮助安全专家大规模应对高级威胁；另一方面，AI 也助长了对手威胁活动的复杂程度。

为了以火攻火，组织越来越多地自动化安全流程，以弥补自身所处的不平等竞争环境。在这种情况下，网络安全中的 AI 是从被动防御转向主动保护的必要手段。然而，AI 的采用也面临挑战和需考虑的问题。

本文探讨了 AI 如何改变安全运营，带来的主要高价值用例，以及在将 AI 引入安全运营中心（security operations center - SOC）时需避免的关键错误。

AI 如何改变网络安全

AI 擅长识别模式，从海量数据中学习，并基于学习做出预测或决策。结合机器学习（machine learning - ML）技术，AI 使得大规模高级数据分析成为可能。

对于面对不断扩大的攻击面和高级威胁的安全专业人员，AI 有助于增强威胁检测、自动化并加速事件响应、提高警报的准确性和真实性。它对数据的可视化使事件关联更强，提升团队生产力，实现更高效的漏洞管理。这有助于整体改进组织的风险管理策略和流程。

为何安全团队的 AI 采用在增长

混合和多云环境带来新的漏洞和攻击面。现代攻击以前所未有的速度展开，传统系统产生大量警报（其中许多是误报），且行业面临全球人才短缺。难怪 AI 采用在不断增加。事实上，全球 AI 网络安全工具市场预计到 2030 年将以 27.9% 的速度增长。

AI 帮助安全团队比手动流程更高效地分析复杂生态系统。AI 工具可以检测威胁、筛选警报，并实现近实时响应 —— 最大限度减少对组织的损害。最终，它作为一种力量倍增器，承担重复任务，让人类专注于高价值的调查。

网络安全中 AI 的五大主要用例

对于加强网络安全实践的组织来说，目前有五个突出的用例：AI 驱动的威胁检测、SOC 自动化、事件响应、欺诈检测和风险分析，以及数据接入。下面详细介绍。

1）AI 驱动的威胁检测与防御

传统安全工具通常依赖签名或已知模式，容易被新型或不断演变的攻击绕过。而 AI 可以实时分析网络流量、用户行为和系统活动的模式，帮助安全团队识别可能表明入侵的异常，提供与高级持续威胁（APT）抗衡的强力工具。

机器学习模型特别擅长发现这些偏差：例如，基于行为的检测系统可以识别内部人员行为何时偏离常态，从而标记潜在威胁。

2）用于 SOC 自动化的 AI

面对海量高速的数据，SOC 每天都会收到大量警报（其中许多为误报），导致分析员疲劳和安全漏洞。为安全信息与事件管理（security information and event management - SIEM）设计的 AI 工具现在可以自动化威胁分析，过滤出真正重要的警报，减轻分析员的负担。通过在 SIEM 系统中使用 AI，安全团队能为分析员提供更聚焦、高质量的仪表盘，指导日常工作。

3）用于自动化事件响应的 AI

事件响应要求快速反应。当分析员被数据淹没时，响应时间就会延长。攻击者在系统内停留越久，造成的损害越大。通过自动化关键威胁缓解步骤，组织可以大幅缩短从检测到遏制的时间，减少人工干预。

安全编排、自动化和响应（Security orchestration, automation, and response - SOAR）是一个框架，结合 AI 可加速响应自动化，只有在必要时才将关键问题升级给人工分析员。

4）AI 驱动的欺诈检测与风险分析

银行、电商和保险等行业需要强大的欺诈检测系统。随着威胁的升级和攻击面的扩大，传统的基于规则系统失效，常产生大量误报且漏掉更隐蔽的欺诈行为。AI 驱动的欺诈检测和风险分析是网络安全中 AI 的重要应用。

通过实时分析交易模式、发现偏差，并识别复杂欺诈手段，AI 和机器学习算法帮助安全团队主动进行风险缓解，最大限度减少潜在的欺诈损失。

Octodet 在终端层面主动防御威胁，保持其威胁检测能力的更新。

5）数据接入

AI 驱动的数据接入是一个变革性工具，使安全管理员确保 SIEM 运行在完整且标准化的数据集上，覆盖整个组织的 IT 生态。

通过自动化定制数据集成，安全专家可节省数周工作。原本需要数天完成的任务，现在 AI 可在不到 10 分钟内完成，提升 SOC 更快获得环境全貌的能力。

了解更多关于 AI 驱动 SIEM 给你的组织带来的好处。

SOC 采用 AI 时常见的错误须避免

创建 AI 驱动的 SOC 有正确和错误的方法。许多组织在安全运营中实施 AI 时犯了关键错误。以下是一些常见的实施陷阱：

• 治理不足：缺乏适当监督，AI 工具可能做出错误决策或在监管和合规范围之外运行，削弱内部用户和外部利益相关者的信任。当没有明确指定的利益相关者监督 AI 采用时，这些风险会加剧。缺乏明确的角色、职责和问责，使得难以有效管理 AI 系统、执行政策或在出现问题时响应事件。强有力的治理框架对于确保 AI 不仅有效，还要安全、合规且符合组织价值观至关重要。
• 访问控制薄弱：AI 系统通常需要访问敏感数据。没有严格的访问控制，它们自身也可能成为攻击目标。必须在采用过程的每一步都考虑安全。
• 使用敏感数据进行训练：将未保护的个人或受监管数据输入 AI 模型可能导致隐私泄露和合规问题。训练模型时，安全团队必须识别 AI 数据风险并采取相应措施。
• 开发过程忽视安全：为防止恶意篡改，AI 产品开发和部署生命周期的每个阶段都必须考虑安全。尤其是实施像 AI 这样不透明技术时，将安全前置到开发流程中能确保及早发现漏洞。
• 过度依赖自动化：AI 不能替代人类专业知识 —— 它是辅助工具。人工监督依然关键，尤其是在处理 AI 可能误判或完全漏掉的情境敏感威胁时。要构建高效的 AI 辅助安全团队，组织必须在风险评估和意外系统行为等方面优先考虑人工判断。AI 与分析员的协作能促进更好的决策，减少盲点，并保持运营完整性。

现代化 SecOps 的最佳实践

没有一刀切的 AI 解决方案。现代化 SecOps 需要从基础做起，构建支持安全运营团队实际需求的基础。成功的现代化以人为本，始于明确技术服务对象及其如何融入日常工作流程。

为了充分发挥 AI 在 SecOps 战略中的力量，请考虑以下最佳实践：

• 明确战略起点：AI 采用应基于组织的具体风险状况和团队需求。制定清晰目标，并为 AI 部署设定 SMART（具体、可衡量、可实现、相关、时限）目标，确保解决正确问题并追踪有意义的结果。

• 投资数据质量：AI 的表现依赖于所学习的数据。确保安全工具获取来自整个 IT 环境的全面、准确、及时的数据。清洗、标准化和丰富的数据是准确威胁检测和有效自动化的关键。

• 工具间集成：AI 应无缝连接现有安全生态系统——从 SIEM、SOAR，到端点检测与响应（EDR）、云监控工具等。通过减少工具碎片化并实现统一可见性，提升响应速度。

• 培训团队：技术只是部分因素。培训和技能提升使 SOC 分析员理解 AI 如何融入工作流程，解读其输出并做出明智决策。人类专业知识依然关键，特别是在处理边缘情况或解读 AI 建议时。

• 持续监控与调优：AI 不是“设置后忘记”的工具。定期评估模型表现并用更新数据重新训练。持续调优确保 AI 系统保持相关性、准确性和可信度。

通过将现代化努力基于这些最佳实践，组织能更负责任地部署 AI，提升威胁响应速度，增强整体安全态势，同时让 SOC 团队成为转型的核心。

为什么 SOC 选择 Elastic Security 进行 AI 驱动的安全分析

基于 Elastic 的 Search AI 平台，Elastic Security 将先进的 AI 能力集成到 SOC 工作流程的每个层面。加速数据接入，更高效的警报分类，并通过生成式 AI（generative AI）提升安全团队的生产力。

Elastic Security 让你能减少噪音，专注于关键事项，快速行动以保护和保障组织安全。

了解 AI 能为你的安全运营做什么。

探索更多网络安全中的 AI 资源：

• 网络安全 AI 综合指南

• 认识 Elastic AI 助手，你的新团队成员

• 观看：获取加速 SOC AI 应用的专家技巧

• 关于 AI 驱动安全分析的价值

• 了解生成式 AI 如何加快问题解决

本帖中提及的任何功能发布时间及发布权均由 Elastic 全权决定。当前不可用的功能可能不会按时或根本不会发布。

本文可能使用或提及第三方生成式 AI 工具，这些工具由各自所有者拥有和运营。Elastic 无法控制第三方工具，对其内容、运行或使用不承担任何责任，也不对因使用这些工具可能导致的任何损失负责。使用涉及个人、敏感或机密信息的 AI 工具时请谨慎。你提交的任何数据可能被用于 AI 训练或其他用途，不能保证所提供的信息安全或保密。请在使用任何生成式 AI 工具前，熟悉其隐私政策和使用条款。

Elastic、Elasticsearch 及相关标识是 Elasticsearch N.V. 在美国及其他国家的商标、标志或注册商标。所有其他公司和产品名称均为其各自所有者的商标、标志或注册商标。

原文：AI adoption in security: Top use cases and mistakes to avoid | Elastic Blog