人工智慧對網路安全市場的影響與 SIEM 的未來
網路安全的發展一直以波浪形式推進,這並非因為我們的智慧突然提升,而是因為我們從過去的錯誤中學習,辨識出安全漏洞,並努力用現有技術去解決新的安全挑戰。
人工智慧時代的到來
即使人工智慧已經存在多年,但大型語言模型的出現使得許多產業,包括網路安全,發生了顯著變革。這些技術不僅提供了解決安全問題的新工具,也鼓勵創新者重新審視現有的安全技術,並探討這些技術是否能夠利用大型語言模型來解決現有挑戰。更有趣的是,部分團隊利用這一機會來反思現有的安全方法是否仍然合理,並尋求現代數據架構和不同的資料收集與執行模式來根本性地改變結果。
這股浪潮催生了許多新公司,甚至於那些許多人認為已經成熟甚至停滯的市場,如 SIEM(安全資訊與事件管理)。
五大發展階段
讓我們簡單回顧過去 25 年來網路安全方法的演變,這雖然不是一個詳盡的描述,但有助於解釋我們當前所處的位置。
1. 網路為中心的預防
早期,我們依賴於防火牆和入侵檢測系統 (IDS),後來又有入侵防禦系統 (IPS)。這些系統的模式很簡單——監看網路數據包,阻止惡意活動。這種方法在攻擊者學會偽裝成正常流量之前是有效的。
2. 集中化數據與高層次洞察
當網路信息產生太多誤報時,我們引入了漏洞數據和認證事件,並將它們輸入到 SIEM 系統中進行關聯分析。雖然結果參差不齊,但合規和審計需求的出現為 SIEM 提供了持久的價值,即便其安全效益備受爭議。SIEM 成為了可見性和取證的必要工具,但逐漸與實時決策脫節。
3. 回歸預防與回應
隨著 SIEM 警報數量激增,分析師無法應付,業界開始轉向端點偵測與回應 (EDR)、網路偵測與回應 (NDR) 及安全編排、自動化與回應 (SOAR)。NDR 從未真正突破,EDR 成為主要類別,SOAR 大多回歸到 SIEM,最終大多數大型 EDR 廠商都增加了 SIEM 產品線。這不是設計上的融合,而是運營上的必然。
4. AI 引發現實檢視
大型語言模型讓許多人相信,只需在現有架構上加上一層 AI 即可解決問題。然而,更有遠見的公司利用 AI 來重新檢視基本原則:哪些數據真正重要?哪些可以在邊緣預防?哪些必須集中關聯?SOC 工作流程中哪些結構性問題需要解決?這些解答多與數據準確性、控制點的選擇及現代系統設計有關,而非僅僅依賴 AI。
5. 融合趨勢
我們正處於預防回歸邊緣的階段,而分析和協調仍然集中。終端設備變得更智慧,瀏覽器得到監控,網路重新觀測,情境成為一級輸入。然而,安全運營中心(SOC)仍然存在,充當著集中神經系統的角色,負責關聯、重建、解釋、協調和證明發生的事件,這就是所謂的 SIEM 或安全分析。
結語
隨著技術的不斷進步,尤其是人工智慧的影響,網路安全市場正面臨新的挑戰和機遇。企業不僅需要適應這些變化,還必須在現代化的數據架構中尋找創新解決方案,以確保安全策略的有效性和可持續性。