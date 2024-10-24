IBM 《2024 年数据泄露成本报告》揭示突破性发现：在预防环节应用 AI 驱动自动化技术，为组织平均节省 220 万美元。
企业应用 AI 进行威胁检测、调查与响应已有多年历史。但随着攻击面持续扩张，安全负责人必须采取更主动的防御姿态。
AI 正通过以下三种方式助力实现这一目标：
日益增长的复杂性与互联性正成为安全团队的重大挑战，攻击面扩张速度已远超纯人工监测能力范围。随着组织升级多云战略，在软件开发部署中引入新型 SaaS 工具与第三方代码，这一挑战持续加剧。
攻击面扩大导致网络交互复杂度提升，为攻击者创造了大量新的潜在入侵路径。攻击面管理 (ASM) 可为数字基础设施提供 AI 驱动的实时保护，而不受底层复杂性的影响。
自动化 ASM 通过提供攻击面全面可见性，极大增强人工审计效能。此外，AI 能从监测数据中持续学习以优化检测效果，其速度与规模远超人类能力极限。
但需注意，尽管 ASM 工具常作为开箱即用方案且部署相对简便，安全团队解读其生成海量数据的能力，才是最大化工具价值的关键。
AI 红队测试是指人们对 AI 模型进行压力测试，评估潜在漏洞及偏见、错误信息等风险。尽管大多数模型设计时已内置防护机制，但攻击者持续通过精巧提示尝试“越狱”。对红队而言，目标是在攻击者得手前发现漏洞，为采取纠正措施争取时间。
红队自身也可以利用 AI，帮助识别用于训练 AI 模型的数据中可能存在的问题。例如，根据 IBM 的报告，超过三分之一的数据泄露事件涉及影子数据。如果这些未经质量与完整性审核的数据最终用于模型训练，其涟漪效应将十分显著。AI 可通过识别异常值与易被忽视的风险数据源，协助红队探测影子数据。红队还可运用对抗性机器学习方法进行 AI 模型间互测，以识别脆弱点。
与 ASM 不同，红队测试需根据组织数据与威胁态势定制化模拟。为了充分发挥其优点，组织必须与能够正确解读和分析结果并实施必要变革的专业团队合作。
态势管理是 AI 可扩展实时监测能力最具优势的领域。ASM 揭示攻击面潜在漏洞，态势管理则采用更宏观的视角，以持续、敏捷、自适应的方式监测配置项、安全策略合规性及内外部系统间连接。
通过 AI 实现态势管理自动化，安全团队能以更短时间管控风险，在复杂多云基础设施中扩展工作范围，确保全环境一致性。此外，由于减少了对手动流程的依赖， 人为错误的可能性大大降低。
即使发生泄露事件，深度整合 AI 与自动化到态势管理策略的组织，相比完全未使用 AI 的组织，能提速近 100 天完成识别与处置。自然，在预防与修复环节节省的时间将转化为可观的直接与间接成本节约。