人工智能驅(qū)動(dòng)的公有云技術(shù)的發(fā)展正在改變企業(yè)“默認(rèn)保護(hù)”的游戲。

我最近有機(jī)會(huì)向一位行業(yè)分析師介紹人工智能AI在解決公有云安全方面的快速進(jìn)步。分析人員和我都在探索入侵防御系統(tǒng)(IPS)的開始和商業(yè)化，并且多年來(lái)一直持懷疑態(tài)度，僅僅因?yàn)榘踩夹g(shù)能夠防止威脅或主動(dòng)攻擊，客戶不一定會(huì)處于保護(hù)模式。

即便在今天，我也估計(jì)80%的網(wǎng)站IPS是在僅檢測(cè)模式下運(yùn)行的，而且雖然運(yùn)行的很好，但基于主機(jī)IP下可能只在60%的企業(yè)環(huán)境中部署為僅檢測(cè)和警報(bào)。

在我們的談話中，我們兩個(gè)人都出現(xiàn)了一個(gè)問(wèn)題：客戶是否準(zhǔn)備開啟保護(hù)?或者更具體的說(shuō)，為什么客戶現(xiàn)在可以啟用保護(hù)件?自從我與分析師進(jìn)行初步討論以來(lái)，我一直在尋找一種更完整的方式來(lái)闡明為什么我認(rèn)為IPS歷史無(wú)法回答為什么默認(rèn)情況下為云中運(yùn)營(yíng)的企業(yè)啟用保護(hù)的問(wèn)題。

無(wú)論是否具有下一代或NG前綴，IPS都應(yīng)以獨(dú)立方式運(yùn)行，有點(diǎn)像防火墻，獨(dú)立分析本地流量和數(shù)據(jù)流，識(shí)別特定事件或攻擊技術(shù)，發(fā)出警報(bào)，以及(如果在預(yù)防模式下操作)阻止或終止該流。由于三個(gè)嚴(yán)重的異議，企業(yè)安全團(tuán)隊(duì)通常不愿意啟用IPS阻止。

1. 預(yù)防決策是在IPS設(shè)備級(jí)實(shí)時(shí)進(jìn)行的，依賴于在網(wǎng)絡(luò)中特定的時(shí)間和物理位置檢查流媒體流量。因此，IPS不是“情景感知”，如果不定期執(zhí)行專家環(huán)境調(diào)整，則會(huì)導(dǎo)致高水平的誤報(bào)率。

2. 在當(dāng)?shù)蒯槍?duì)所檢查的交通流和數(shù)據(jù)流進(jìn)行預(yù)防行動(dòng)，雖然IPS可能最適合檢測(cè)企業(yè)內(nèi)該物理位置的特定威脅，但通常不是采取預(yù)防措施的最佳位置。

3. IPS可用的預(yù)防方法相當(dāng)粗糙，從防火墻級(jí)別的流量阻塞到執(zhí)行會(huì)話終止的TCP重置，需要粗粒度的響應(yīng)參數(shù)(例如，IP地址，端口號(hào)，協(xié)議)

在企業(yè)安全和威脅可見性方面，公有云和人工智能的使用非常簡(jiǎn)單，是游戲改變者。

客戶的核心是為計(jì)算、存儲(chǔ)或流量計(jì)量和計(jì)費(fèi)客戶，同時(shí)具有動(dòng)態(tài)平衡工作負(fù)載和按需彈性擴(kuò)展的透明功能，提供不同于傳統(tǒng)企業(yè)網(wǎng)絡(luò)架構(gòu)中的環(huán)境可見性和控制水平。

雖然大多數(shù)公共云提供商的內(nèi)置安全產(chǎn)品與其企業(yè)網(wǎng)絡(luò)同類產(chǎn)品具有相同的術(shù)語(yǔ)，但他們幾乎沒(méi)有相似之處，因?yàn)樗麄儗ｉT針對(duì)該提供商的云構(gòu)建，并受益于獨(dú)特的環(huán)境可見性，共享日志記錄和警報(bào)處理，跨產(chǎn)品分析，內(nèi)置自動(dòng)化和編排API，以及越來(lái)越先進(jìn)的AI功能。

公有云客戶可以立即看到改進(jìn)中的局部部分，但是為什么安全團(tuán)隊(duì)會(huì)像IPS中一樣啟用并允許云中的“保護(hù)”?我相信技術(shù)答案在于以下幾項(xiàng)的組合：

1. 保護(hù)決策自動(dòng)應(yīng)用于云環(huán)境中最有效和最自然的位置，而不僅僅是主要檢測(cè)可能發(fā)生的位置。這樣可以在阻塞是提高精度。

2. 緩解步驟不必是嚴(yán)苛的全有或者全無(wú)控制，而是可以同時(shí)分布在多個(gè)安全產(chǎn)品和云應(yīng)用程序之間。這大大減少了可能產(chǎn)生的負(fù)面業(yè)務(wù)影響和不良用戶體驗(yàn)。例如，在處理從共享和受信任的遠(yuǎn)程設(shè)備發(fā)起的可以用戶時(shí)間時(shí)，結(jié)合了條件訪問(wèn)控制和網(wǎng)絡(luò)流量限制。

3. 跨產(chǎn)品的可見性和威脅遙相結(jié)合，允許智能系統(tǒng)識(shí)別新的威脅，并在較低的閾值和如何在獨(dú)立的單源保護(hù)產(chǎn)品中獲得更高的信心來(lái)做出決策。

4. 隨著傳統(tǒng)簽名和基于統(tǒng)計(jì)的方法被高精度監(jiān)督學(xué)習(xí)模型和行為異常能力所取代，威脅監(jiān)測(cè)精度，異常識(shí)別和標(biāo)記以及整體檢測(cè)置信水平都有所提高。

雖然云安全產(chǎn)品的技術(shù)能力增強(qiáng)了其對(duì)保護(hù)能力的信心，但我認(rèn)為兩個(gè)更重要的動(dòng)態(tài)在于云中推動(dòng)“默認(rèn)保護(hù)”比內(nèi)部部署更快。

首先，攻擊的數(shù)量，復(fù)雜性和快速性的升級(jí)迫使組織比以往更快，更自動(dòng)的響應(yīng)威脅;之后更容易預(yù)訂啟用保護(hù)并調(diào)整業(yè)務(wù)異常。

其次，也許最重要的是，大多數(shù)遷移到公共云的企業(yè)沒(méi)有內(nèi)部信息安全專業(yè)知識(shí)。簡(jiǎn)而言之，安全警報(bào)是不可行的，并且會(huì)分散他們的注意力。他們需要一個(gè)安全平臺(tái)來(lái)運(yùn)營(yíng)他們的業(yè)務(wù)，并希望云提供商能夠全面保護(hù)他們。