分析师、用户和厂商眼中的AI威胁检测

在软件公司Darktrace首席执行官 Nicole Eagan 看来，10个网络安全专家里有8个不会将人工智能(AI)作为威胁检测关键部件。剩下2个不是“完全拒绝”就是最多“尝试一下”，反正不会花精力充分开发这项技术。

诚然，信息安全专家都是倾向于规避风险的，也就造成了他们有时候会不愿尝试新技术，而且理由非常充分：帮公司抵御风险才是他们的首要任务。但是，理论上而言，AI是有潜力帮安全团队更快发现大量问题的。于是，到底是为什么，不是每个安全团队都愿意使用AI呢？

研究公司KuppingerCole高级分析师 Mike Small 认为，其实很多公司都在用AI检测威胁，只是他们可能没觉得那是AI。相比传统杀毒软件，Darktrace及其竞争者，比如Senseon和SecBI，是在更高层次上执行威胁检测。某种程度上讲，它们做的事不是全然的创新。威胁检测AI的核心是行为分析的高级形式，本质上还是查找模式以识别潜在威胁和漏洞。所有大型网络安全平台，比如赛门铁克和迈克菲，都有此类技术产品。

团队购买技术是为了其输出，而不是为了技术本身。大型工具中内置的行为匹配功能效果已然不错：福布斯去年报道称，迈克菲年收益超25亿美元，而Darktrace销售额达4亿美元。

虽然期待专用行业工具销量比肩家用平台不太现实，但统计结果显示：在威胁检测领域，独立AI并未占领市场。真正的绊脚石是什么？不同身份的人给出的答案差异很大。

供应商观点：抗拒改变的心理拖慢了威胁检测AI的采纳

去年12月5日的纽约AI峰会上，Eagan谈到了抗拒改变的心理：网络安全行业形成已30年了，因此，习惯于特定工具、方法和过程的技术人员不在少数。

不过，开放性思维和好奇心却无关年龄，寻求突破和尝试新技术的人自然会去拥抱威胁检测AI。

分析师视角：威胁检测AI难以解释

Small称，当今市场上的独立威胁检测AI解决不了目前的信息安全问题。就拿安全中心做例子：AI好似黑盒，涉及被标记事件是否真实的问题(是否误报)，它给出的答案要么是对的要么是错的，但你根本不知道为什么会错。

除了不知道为什么会误报，网络安全人员还无法向媒体解释他们在面对数据泄露事件时的决策。在数据安全诉讼越来越多的时代，这一限制让安全人员更难以在法庭上为自己的决策辩护。

买家感受：无法应对威胁检测AI输出的额外数据

人力资源公司Scout技术与信息安全总监Gauthier对媒体报道和诉讼倒是不太担心。他没买威胁检测AI技术是因为Scout没有足够的人力来充分利用该技术。

我们是个小公司。这种流行AI威胁防护平台，或者说现下看起来很热门的大量威胁情报馈送，全都是给你推送更多信息的。但这些信息某种程度上是第二层信息。我们真是没有足够的人手来处理这些看起来非常真实非常可操作的重大威胁。

虽然威胁检测AI确实比综合性平台要高效，但出于成本效益考虑，如果还要为这额外的数据付费，如果无法就其情报采取行动，那就不能从中得到价值。监视AI的输出需要一定的人力，公司规模太小是负担不起这额外的人力成本的。

对此，软件公司Darktrace首席执行官Eagan表示同意。该公司成立之初就讨论过市场定位问题：如果只能将产品卖给可以聘用数据科学家的大型企业，那自身市场范围就会受限。因此，他们对开发人员说：

我们产品应该能自学习、自维护，这样我们的客户就不用额外招聘人员了。客户不愿意聘用更多安全人员。

威胁检测AI必须提供洞见，而不仅仅是信息

现在的AI仅仅提供信息，还需要安全人员梳理出其中含义。如果威胁检测把自己限制在当前的行为分析方法中，不求突破，那就永远无法提供安全团队真正想要的功能，采纳率也无法提高。

AI供应商应考虑技术升级：解释为什么某个威胁是真警报。这事儿说起来容易做起来难，目前也就 IBM QRadar Advisor 正在研究。事件背后要解释的因素太复杂了——发生了什么？是否完全平息了？有没有波及他人？问题点在哪儿？如此有洞察力的AI肯定很难构建，但只要构建出来，一定很容易卖出去。