人类专业知识和人工智能相结合如何阻止网络攻击

进入 2022 年，首席信息安全官(CISO) 面临的最大挑战是应对网络攻击的速度和严重性。最新的实时监控和检测技术提高了挫败攻击的几率，但并非万无一失。CISO 告诉，不良行为者通过即时修改攻击来避免被一线监控系统检测到。这令人担忧，尤其是金融服务和医疗保健领域的 CISO。

企业处于反应模式

企业无法从威胁监控、检测和响应网络安全策略中获得最大价值，因为他们过于专注于数据收集和安全监控。CISO 告诉，他们捕获的遥测（即远程）数据比以往任何时候都多，但在破译数据时人手不足，这意味着他们通常处于反应模式。

企业需要在威胁影响运营之前更积极地破坏威胁。为此，CISO 以及他们向其报告的 CEO 和董事会需要将网络安全支出视为一项商业投资，而不仅仅是成本中心。CISO 进行了交谈，他们表示在破坏潜在威胁方面先发制人的挑战包括预算限制、招聘具有威胁分析工具专业知识的经验丰富的网络安全分析师以及扩展零信任跨新机器身份和端点。这些因素与网络攻击的严重性和速度相结合，促使企业将托管检测和响应 (MDR) 集成到其更广泛的网络安全和 IT 战略中。此外，CISO 和网络安全团队正在优先考虑 MDR，这些 MDR 可以使用 API 立即与其技术堆栈集成，以扩展和扩展当前的 IT 技术堆栈和基础设施。

威胁学习需要更快地扩展

即使是最先进的 AI 和基于机器学习的威胁监控和响应系统也需要时间来解释、学习和防御新的攻击模式。依赖卷积神经网络的结构化机器学习算法有助于减少延迟。然而，不良行为者的即兴攻击技术比人工智能和机器学习技术的反应速度更快。

MDR 看到了通过提供经验丰富的威胁分析师即服务来缩小企业中日益增长的检测和可见性差距的市场机会。他们正在招募这些分析师，以利用人类专业知识加强实时监控和检测，以快速识别复杂的异常情况。企业中针对此问题的 MDR 数量迅速增加，这表明人工分析可以更准确地识别数据中的异常和非线性互连，通过获得特权访问凭证来防止数据泄露、复杂的网络攻击、复杂的勒索软件攻击和自动攻击。

在最近的托管检测和响应服务市场指南中，Gartner 将 MDR 的作用定义为提供“检测和响应服务，为客户提供远程交付的现代安全运营中心 (MSOC) 功能。这些功能使组织能够通过威胁缓解和遏制来快速检测、分析、调查和积极响应。MDR 服务提供商提供交钥匙体验，使用预定义的技术堆栈（涵盖端点、网络和云服务等领域）来收集相关日志、数据和上下文信息。” Gartner 对 MDR 和相邻服务的定义优先考虑实时获取数据和分析、威胁情报和报告。

网络安全漏洞推动市场不断增长

Gartner 对新兴技术的研究预测，到 2025 年全球 MDR 市场将达到 21.5 亿美元，高于 2021 年的 10.3 亿美元——复合年增长率为 20.2%。Gartner 表示，在 2019 年至 2020 年期间，来自客户的咨询增长了 95%，其中较大的企业领先于评估和采用。Gartner 的新兴技术报告还提到了网络攻击日益复杂、技术人员短缺以及推动市场增长的监管要求不断提高。这些因素导致企业今天面临的网络安全差距不断扩大，因为他们无法对威胁做出足够快的反应。

451 Research 的市场洞察报告，覆盖启动：Pondurance 对 MDR 采取基于风险的方法，预测安全服务市场到 2025 年将超过 243 亿美元。MDR 是增长最快的安全服务市场之一，吸引了 Alert Logic 等供应商, Arctic Wolf, Armor, AT&T, Atos, Binary Defense, Blackpoint Cyber​​, BlueVoyant, Booz Allen Hamilton, Critical Insight, CrowdStrike, CSIS, Cyber​​eason, F-Secure, Fidelis Cyber​​security, IBM, Kudelski Security, Mnemonic, NCC Group, NTT,开放系统、Orange Cyber​​defense、Pondurance、Secureworks、SentinelOne、Sophos、Trustwave、Verizon、Viking Cloud、VMware 等等。

通过人类洞察力和 AI 阻止攻击

MDR 在其承诺的服务水平以及其技术堆栈的可扩展性和规模上脱颖而出。然而，值得注意的竞争对手 Pondurance 最近宣布了一种新的网络风险评估解决方案，该解决方案结合了网络专家的见解和创新技术平台，以降低违规风险并提高网络弹性。Pondurance 声称，其网络风险评估工具可识别企业可以用来降低入侵和勒索软件尝试风险的集成仪表板上的网络安全覆盖范围的差距。根据他们识别跨云平台、网络、用户、应用程序、端点和传统日志数据的威胁的记录，Pondurance 表示，这种新解决方案与其基础 MDR 服务相结合，将帮助组织采取主动、攻击性的方法和被动的方法，防御方法来改善他们的安全态势并阻止网络攻击。去年 6 月，Pondurance 收购了咨询和评估服务提供商 Bearing Cyber​​security。因此，他们的旗舰云平台 MyCyber​​Scorecard，

Pondurance 的首席战略官 Lyndon Brown 表示，“随着组织迅速转向主要是远程的分发模式，并且越来越多地采用云服务，可见性变得难以维持和获得。” 不仅需要查看日志，还需要跨越各种有利位置并了解企业中正在发生的事情，这是一个巨大的挑战。Lyndon 还表示，组织已经意识到，查看他们的网络和端点并寻找可能已经存在于环境中的威胁也是一项越来越重要的要求。

Pondurance 表示，其由 MyCyber​​Scorecard 提供支持的网络风险评估还支持企业和系统所有者之间的协作，以弥合政策、控制和运营之间的差距。此外，Pondurance 网络风险专家可以直接在 MyCyber​​Scorecard 中传达建议，帮助客户向监管机构和保险提供商证明他们在减轻网络风险方面取得了真正的进展。他们的方法还为更全面的评估奠定了基础，例如 NIST 网络安全框架 (CSF)、NIST 800-53、NIST 800-171、网络安全成熟度模型认证 (CMMC)、纽约州金融服务部 (NYDFS)、国家保险专员协会 (NAIC) 数据法、第三方风险和未来的其他内容。

消除攻击源

大规模识别和消除攻击源需要重新思考自动化如何在当今的 MDR 环境中占据主导地位。即使是最好的 AI 和基于 ML 的实时监控和检测技术也无法跟上不良行为者动态重新设计攻击策略的速度。相反，CISO 将网络安全分析师的直观洞察力与人工智能和基于机器学习的实时监控工具和技术可以提供的最佳洞察力相结合。随着 MDR 竞争格局的成熟，寻找将人类专业知识和人工智能相结合的混合方法变得更加普遍。