无论企业规模如何,安全管理始终是一项复杂的任务。这通常是由多方面因素造成的,从缺乏充足的熟练 IT 人员来分析数据,到需要分析的数据过多。最终导致威胁被遗漏或者发现得太晚,除却收拾残局以外,别无他法。
复杂性的挑战
复杂性可以分为四个关键挑战:
• 厂商多:第一项挑战是厂商和解决方案繁多的结果。数十年来,解决任何新安全问题的方法一直是在配线柜中添加另一款专用安全工具。最近的研究表明,14% 的首席信息安全官受访者表示他们在其网络中部署了来自 20 多家不同安全厂商的解决方案,3% 的受访者更是表示其安全厂商数量超过 50 家。遗憾的是,大多数产品不支持相互通信,这意味着它们也无法创建自动化工作流或协调策略变更。由于数字化转型等因素导致网络日益复杂,并且部署的厂商数量不断增加,有价值的威胁情报比以往更容易淹没在混乱中。
• 告警多:与此相关的问题是每台设备都会生成警报。在上述研究中,35% 的组织每天需要跟踪与确认 10,000 到 500,000 个告警。其中只有不到四分之一的告警经过调查证实是真正的告警,这对本已不堪重负的 IT 人员来说,无异于雪上加霜。
• 手动响应速度过慢:更糟糕的是,79% 的受访者表示,编排来自多个厂商的告警“有一定或很大的挑战性”,这意味着必须手动关联警报、日志文件和其他威胁情报(通常采用完全不同的形式)。因此,威胁检测迟缓,响应通常也不充分。这就部分解释了为何识别威胁的平均时间将近 200 天,而修复还需要花费近 10 周时间。
• 缺乏经过专业训练的人员:长期存在的网络安全技能缺口进一步加剧了这些问题。掌握通用安全技能的人才比较稀缺,因此无法管理与维护所有在用的单点产品,更不用说重要的安全分析,后者是识别、处理和编排针对复杂威胁的有效响应所必需的。
机器学习 AI 驱动型安全运营降低了复杂性和开销
幸运的是,技术可以派上用场。各组织正迅速采用机器学习(ML)和人工智能(AI)来执行让安全团队不堪重负的常规任务,例如关联日志文件或执行设备修补和更新。虽然利用这些技术将安全人员从繁琐的任务中解放出来是有利的,但是并没有充分发挥它们的潜力。
Fortinet 机器学习和 AI 驱动型安全运营的能力要远远超出大多数智能解决方案所针对的简单任务。
将AI应用到FortiGuard全球威胁研究与响应实验室
通过将机器学习系统融入到我们的全球 FortiGuard 威胁研究与响应实验室服务来不断评估新文件、网站和网络基础设施,从而识别网络犯罪活动的恶意组件,以及动态生成新的威胁情报,帮助组织预测和阻止网络威胁。
Fortinet 客户可以将我们实验室使用的先进人工智能应用于自己的组织,让其网络安全系统扮演诸多人类网络安全专家的角色,包括威胁研究人员、安全分析师和事件响应人员。这支持组织拦截更多攻击,更快地进行检测和响应,从而降低安全事件的风险和潜在影响,同时提高安全运营的整体效率和成本。
将AI的能力输入到在线的产品与解决方案
然后,通过 FortiGuard 安全服务订阅(恶意软件防护、Web 过滤等)向我们的威胁防御产品传递情报,包括旗舰产品 FortiGate 安全平台。我们还将同样的机器学习能力直接内置于客户端部署的多款产品中,以便自动检测以前未知的攻击,防止其在全球威胁情报更新之前攻击客户。
同时,Fortinet特别利用直接内置于我们的Web应用防火墙和终端平台中的机器学习来提供基于行为的预防,以补充传统技术。
将AI应用与高级威胁检测及自动化响应
为了确保对威胁的及时响应,尽管安全产品种类繁多且网络安全专业人员匮乏,Fortinet还是提供了统一窗口界面的可视化,跨安全结构,多供应商环境和定义明确的安全流程的分析和自动化功能。
它也是高级专家系统的一个关键元素,可对组织 IT 部门和安全基础设施提供的海量信息进行汇总、分析和丰富,并发出威胁警报,提供编排和自动响应选项以提升安全运营效率。
人工智能(AI)领域的突破性进展支持自动阻止、检测和响应网络威胁,这是人工操作和孤岛式管理平台无法实现的。AI 驱动型安全运营不仅能够帮助组织管理不断增加的安全设备,还可以查看和保护分布于数千或数百万个边缘、用户、系统、设备和关键应用中的数据、应用和工作流。
Fortinet AI 驱动型安全运营使组织重获掌控权
通过将 AI 功能直接构建于 Fortinet 安全解决方案中,可以将它们集成和部署在高度分布式网络中(以不同的部署形式),以创建统一的智能 Security Fabric平台。这些平台包括专为超大规模数据中心和架构设计的超高性能设备,以及在私有云、公有云等多云环境中作为云原生解决方案部署的虚拟化平台。
通过采用Fortinet Security Fabric 平台,将 AI 融合入整个网络,组织不仅能够享受跨所有设备、用户、端点和环境的全面可视性和保护,集中式 AI 驱动型安全运营还可以跨安全结构执行收集、关联和通信操作,并根据网络和连接的变化,实时调整安全策略和协议,以提供比任何人力更快、更全面的响应和修复,从而更加一致、高效地保护组织免受攻击。