本文来自微信公众号安全牛
近年来,安全访问服务边缘(SASE)技术快速发展,得到了较广泛的行业应用。SASE架构通常包括了SD-WAN、FWaaS、安全Web网关、云访问安全代理(CASB)和零信任网络访问(ZTNA)等核心组件。而Gartner最新的研究预测,人工智能(AI)与自动化技术将成为新一代SASE服务的又一项关键技术,它会在减少误报、保护数据安全等多个应用场景下发挥更加重要的作用。
Gartner分析师表示:由于SASE厂商掌握着海量的网络和安全威胁数据,因此在应用AI和机器学习方面有着天然的优势。企业组织在选型新一代SASE服务时,可从以下方面考量其AI与自动化的应用性能:
1、减少错误告警
警报疲劳是切实存在的问题,安全分析师因每天要处理大量警报而焦头烂额。调查显示,60%的专业人员表示每天收到500多个云安全警报,巨额工作量导致55%的受访者每天或每周都错过重要警报。将AI用于安全和事件异常检测以及对事件进行分类,其主要好处是加快了检测速度,同时大幅减少了误报。
2、网络分析和修复
如今企业纷纷转向智能网络,利用AI和机器学习做出决策,尽可能减少人工干预。在SASE环境下,这可能体现为自动分析网络流量。利用AI的SD-WAN可以跟踪流量峰值以避免性能问题。如果未达到服务级别,基于AI的网络可以转移工作负载或转移用户访问权限。据Gartner研究,2021年,部署SD-WAN的企业中不到5%使用AI功能实现自动化运营,到2025年这个比例将达到40%。
3、智能化运维
AI的另一个重要应用场景是智能化运维。通过智能化运维,可能让安全管理者更好了解网络设备的运营状态,对可能发生故障的设备提前感知,这样就可以让支持人员或维修人员提前做出准备。智能化运维目前已成为AI技术最成熟的应用领域,特别是在智能制造等行业场景中。
4、用户行为分析和异常行为检测
SASE厂商可访问大量数据,利用这些数据为人和设备在网络中应有的行为建立基准,这有助于身份验证和发现可疑活动。从网络的角度来看,需要确保连接到网络的实体的身份真实有效。AI模型可以快速识别连接到网络的端点类型,分析访问网络的每个客户端,并让安全专家了解网络上的情况。
5、数据防泄漏
数据防泄漏并不是SASE的核心功能,却是许多SASE厂商最近添加或正在推出的功能。它可以防止敏感数据被外部攻击者或恶意内部人员从公司的系统中泄露出去。结合AI,数据丢失预防工具可以识别故意混淆、企图绕过基于关键字的简单过滤器的数据。
内部威胁是当今企业面临的最大问题之一。离职员工往往可以获取敏感信息,比如设计文档和代码。恶意内部人员可以窃取公司数据,对外共享。AI不仅可以阻止数据离开公司,还能拒绝访问数据。我们看到SASE厂商正在加入数据丢失防护功能,从而阻止恶意用户窃取并泄露数据。
6、识别和预防高级威胁
传统的入侵检测系统擅长检测已知漏洞,可以防止相同的攻击再次发生,但响应新威胁的速度可能很慢。通过使用所有的已知漏洞训练AI模型,可以立即发现并阻止尚未发生的攻击,许多新攻击是之前已知的威胁的不同版本。一些威胁受益于监控和自动缓解机制,而更复杂的攻击仍需要有劳安全专家处理。安全方面肯定会遇到误报,很可能需要一些资深技术人员分析误报。
7、DDoS攻击缓解
不安全的联网设备持续增多,组织改用高速5G网络,以及服务化的分布式拒绝攻击产业迅猛发展,让企业面临更严峻的DDoS攻击威胁。对于DDoS之类的攻击,组织需要拥有能非常迅速的应对能力。DDoS攻击缓解是SASE厂商们提供的常见功能,也是用户相信AI能处理好的最简单的任务之一。
8、协助安全分析师
如果AI能处理重复性的常规任务,安全分析师可以将时间花在较复杂的问题上。AI可以了解安全分析师的习性和偏好,帮助他们更高效地完成日常工作,从而对安全分析师的工作大有助益。
但AI目前并没有准备好在没有人参与的情况下独立发挥功效。AI在几乎所有的SASE解决方案中仍处于早期阶段。长远来看,尽管AI很有价值,但组织仍需要优秀工程师在关键性问题上人工做出可靠的决策。
参考链接:
https://www.networkworld.com/article/3657610/how-sase-uses-ai.html