云安全中的生成式 AI:雷声大雨点小?!
人工智能是云安全领域的下一个热点吗?
如果您关注了过去一年左右关于生成式人工智能技术的头条新闻,您可能也会有此疑问。根据 GenAI 技术拥护者的说法,云安全将会是被基于 GenAI 的工具所改变的诸多领域之一。
对此,其他一些人并不认同。虽然可以看到生成式人工智能颠覆其他类型的安全工作流程(如警报管理)的潜力,但他们认为,对于部署和管理基于云工作负载的企业来说,云安全中的人工智能并不会成为下一个重大游戏规则改变者。
云安全
要理解为什么生成式人工智能可能不会彻底改变云安全,您必须首先了解云安全需要什么。
云安全是一个广泛的术语,包含各种技术和责任。有些功能(如监视云工作负载的异常情况)是任何类型环境中安全工作流的常见部分。而其他方面,比如确保组织用来管理云中访问权限的复杂身份和访问管理(IAM)策略对云安全来说则是唯一的(或几乎是唯一的)。
如果要列出为启用云安全而必须做的所有事情,它可能是这样的:
确保在设计云环境时考虑到安全性(例如,通过设计安全的云网络架构);
从云工作负载和基础设施中收集指标和日志,然后分析可能是安全风险迹象的异常情况;
使用云提供商的 IAM 框架配置适当的安全控制;
随着时间的推移监视安全控制,以确保它们尽可能保持安全,并随着用户角色的变化和工作负载的发展而更新;
通过使用云访问安全代理(CASB)等工具,防止对基于云的服务进行未经授权的访问。
人工智能在云安全中的好处和局限性
生成式人工智能能在多大程度上帮助简化这些工作流程?答案可能不会太多。
生成式人工智能为云安全增加有形价值的唯一机会可能是在安全监控和响应领域。在这种情况下,生成式人工智能可能有助于总结和解释警报,以及帮助跨不同环境关联安全数据。这就是 Sysdig Sage 之类的工具所做的事情,它是迄今为止出现的少数几个利用生成式人工智能来实现云安全的工具之一。
具体来说,人工智能在云安全中的潜在作用包括:
人工智能可以通过过滤噪音,将关键情况下的数据集减少到更易于管理的水平。这样,安全分析师就可以更好地关注问题,而不是无关的事件。
人工智能可以减少危机情况下的压力和错误,在这种情况下,一时的热度可能会限制人们的视野,使人的感官迟钝,损害解释信息的能力,并导致错误的结论。
人工智能可以通过将数据集预处理为有意义的集合,将经常降低安全团队效率的重复工作最小化。
人工智能可以显著减少分析师因需要根据事件、日志和攻击模式警报中的相关数据做出决策而产生的倦怠。
但是,由于警报总结和关联作为安全工作流程的一部分发生在任何类型的环境中,而不仅仅是云环境,因此也可以说,生成式人工智能并没有为云安全带来特别的价值。
此外,人工智能驱动的威胁检测和数据关联也没有完全改变云安全的游戏规则。它将为这些工作流程增加一些效率,特别是对于经验不足且往往无法使用传统工具快速执行任务的分析师而言。但即便如此,生成式人工智能也很难带来超过 10%或 20%的效率提升。它不仅不会使分析人员检测云安全威胁的速度提高四倍,也不会让一个工程师完成过去需要 10 个工程师才能完成的工作。
云安全策略控制
那么验证云安全控制策略是否安全的任务呢?这似乎是一个生成式人工智能很有用武之地的领域,因为 GenAI 工具可以评估 IAM 配置,并确定它们是否最适合组织的需求。
但在这方面,生成式人工智能同样没有提供太多价值。传统的云安全工具已经擅长于使用更简单的分析方法检测有风险的 IAM 配置。它们可以通过模式匹配和基于规则的分析来检测多余的权限和过度特权的用户。它们并不需要花哨的生成式人工智能模型。
结论
不要相信炒作:“人工智能有望成为解决如何保护云中浮动的所有数据问题的圣杯”。让我们慢慢来。它可能无法解决所有问题。
人工智能在某些方面确实很擅长,但在其他方面却不太擅长。筛选大量的数据来建立用户模式,并将其与他们的日常行为进行比较?它在这方面很擅长。应对新的威胁?这种能力可能还需要几年的时间。
许多宣称自身人工智能技术优势的云安全公司实际上是在使用机器学习,这是一种较老的技术,并不“智能”,实际上只是全面人工智能的一个子集。
在当今的云环境中,人工智能的最佳用途可能是每天有千兆字节传入数据的组织。对于低数据流公司,其他解决方案可能更可取。
总而言之,生成式人工智能技术可能会提供一些机会,使某些云安全工作流程更高效。但不要指望它会彻底改变组织监控和保护云环境的方式。传统的云安全工具已经非常擅长它们所做的事情,而基于生成式人工智能的解决方案无法发挥想象中那么大的作用。
版权声明: 本文为 InfoQ 作者【树上有只程序猿】的原创文章。
原文链接:【http://xie.infoq.cn/article/2c8f3b11cf0c23f668c55c7ff】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论