AI 驅動的安全運營
AI 驅動的安全運營在現代企業中正扮演著越來越重要的角色。最近的 Microsoft Security 活動 (#TFDxMSSec25) 中,展示了如何利用 Microsoft Sentinel 的數據湖和圖形架構實現即時機器輔助的威脅應對。
攻擊中斷與 AI 驅動的速度
“攻擊中斷”策略運行在 Microsoft 的基礎設施內,這些機器學習模型能夠分析身份、設備和網路活動的數據,以自動阻止實時攻擊。在活動中,工程師們證實這些自動化功能可以在數秒內禁用某個身份或設備。雖然目前功能集中在 Microsoft 的資產上,但未來計畫將擴展到第三方環境。
治理和責任風險
在治理和責任方面,AI 的速度帶來了新的挑戰。例如,SOC 分析員是否能夠審計 Sentinel 圖中的關係,了解其來源?AI 採取行動時,責任應該由誰承擔?
Microsoft 確認 Sentinel 圖的每個節點和邊緣均包含與原始日誌相關的屬性,這提供了一定程度的透明度,但在責任歸屬方面仍存在不足。
可追溯性與審計
在審計方面,Sentinel 可以將事件和風險數據導出為正式的審計報告,這符合可追溯性要求,但在治理層面仍需改進。AI 驅動的操作模糊了責任界限,自動系統的行動將責任從人類操作員轉移到了算法。
高速交易與安全治理的類比
這種轉變類似於二十年前金融市場的算法交易,當時監管機構要求每筆交易的審計追踪和算法 ID。安全運營現在面臨相同的監管挑戰,需要在算法效率和責任歸屬之間取得平衡。
平衡速度與責任
為了應對這些挑戰,合規團隊需要更新風險模型,包含自動化系統的決策邏輯,而不僅僅是其結果。SOCs 必須證明每個自動化行動均可記錄、可審核,且在政策或法規要求時可以逆轉。