人工智能如何影響網絡安全和安全管理？

随着人工智能帶來的好處，例如提高生産力、降低營運成本和加快産品上市速度等，越來越多企業正在廣泛應用人工智能。

在新冠肺炎疫情期間，人工智能的采用率飙升。某間全球決策情報公司在2021年對5,000多家企業進行的一項全球調查結果顯示，43%的企業報告稱，由于新冠疫情，他們的公司加速了人工智能的推出。

其次，雲服務加速了人工智能的采用。Tractica預測，到2025年，人工智能在公共雲服務總收入中的占比将高達50%。該研究公司還預計，全球人工智能市場收入将以每年57%的速度增長。

另外，O'Reilly出版的一項于2021年對3,000多名參與者進行全球調查顯示，人工智能應用第二重要的行業是技術、金融和醫療保健行業。

企業在大規模應用人工智能的同時，仍普遍存在若幹憂慮，其中包括人工智能的安全性和合規性。

挑戰與風險

人工智能市場的增長并非一帆風順，意外和事故頻發，例如在不知情或未經同意的情況下擷取了大約160萬個人的機密醫療記錄而面臨訴訟；自動駕駛車禍等人身傷害事件；人工智能聊天機器人被平台上的不當文章破壞而并在推出後不到24小時内開始釋出攻擊性推文；Deepfake視訊等等的事件。

從這些案例中可以看到人工智能采用帶來的資料隐私和安全隐患，以及人工智能的漏洞。是以采用人工智能有相對應的挑戰和風險。

采用人工智能技術時常見的挑戰包括：

► 用于訓練人工智能的敏感資料可能會引發隐私問題，尤其是在涉及個人資料的情況下，并且資料可能會在沒有足夠安全保護的情況下受到損害

► 訓練資料中的偏差會影響人工智能的行為或結果，導緻解決方案無法按預期運作

► 人工智能系統錯誤可能對使用者造成傷害

► 人工智能使用的算法和生成的結果是否可以被專家和使用者了解和解釋

► 誰對人工智能做出的決定以及人工智能的運作方式負責

► 人工智能是否符合道德、社會規範以及企業價值觀

► 缺乏開發或監督人工智能模型，并對人工智能進行管理的專業人才

使用人工智能時會涉及的風險包括：

► 營運風險：人工智能能否實作業務目标，以及人工智能失敗時是否有應急預案

► 技術風險：在人工智能開發過程中，與使用不同技術相關的風險

► 模型風險：與人工智能模型的可靠性相關的風險

► 第三方風險：第三方參與人工智能開發過程時的相關風險

► 安全風險：與支援人工智能系統的資料、軟體和硬體相關的資訊安全和網絡安全風險

► 道德和合規風險

► 與訓練資料相關的資料品質風險

監管要求

随着人工智能技術的應用和發展，監管機構已經釋出了若幹與人工智能安全相關的監管要求或指南。同時，亦有不同監管機構正在起草和釋出越來越多的法規和标準。以下有幾個例子：

► 香港金融管理局（HKMA）發出的通函

• 金管局關于“人工智能進階原則”的通函為銀行業使用人工智能應用程式提供了原則和指導
• 金管局關于“授權機構在使用大資料分析和人工智能方面保護消費者”的通函就銀行業使用大資料分析和人工智能的消費者保護方面提供了一些指導原則

► 《國家新一代人工智能标準體系建設指南》

• 于2020年釋出，《國家新一代人工智能标準體系建設指南》概述了建立國家人工智能标準體系的戰略，涵蓋人工智能不同方面的标準，如硬體和軟體、概念、應用、安全和倫理
• 預計2023年會初步完成人工智能标準體系

► 《人工智能法》（“Artificial Intelligence Act”）（草案）

• 歐盟委員會于2021年4月21日提出的法規草案是對GDPR的補充，并具有域外效力
• 法規規定的某些義務包括風險管理、資料治理、技術文檔、記錄儲存、透明度和向使用者提供資訊、人工監督、準确性和網絡安全穩健性

► 《國家人工智能倡議法案》（“National AI Initiative Act”）

• 在國家層面，美國國會于2021年1月頒布的一個總體架構，以加強和協調美國所有部門和機構的人工智能研究、開發、示範和教育活動

以上監管/指南均共同提出的控制要求包括：

► 透明度——在提供服務之前，應告知使用者該服務所采取的人工智能技術以及所涉及的風險

► 可解釋性——應當向所有相關方解釋應用程式的邏輯

► 隐私和資料治理——遵守适用的資料保護要求，并確定用于訓練人工智能應用程式的資料具有良好的品質和相關性

► 公平——人工智能決策不會歧視或表現出對任何使用者群體的偏見

► 可靠性、彈性和穩健性——確定人工智能決策的準确性，并實施有效的網絡安全措施，以應對對人工智能模型和應用程式的攻擊

► 問責制——確定為人工智能驅動的決策建立問責制

► 人工代理和監督——實施應急措施，在人工智能出現意外結果時允許人工幹預

治理人工智能的運用

Gartner預計，到2026年，實施人工智能透明度、信任和安全性的組織将看到他們的人工智能模型在采用、業務目标和使用者接受度方面實作50%的成果改進。Gartner調查結果表明，組織已經部署了成百上千個IT 上司者無法解釋的人工智能模型。缺乏知識和了解可能會産生嚴重的後果。當依賴增加時，人工智能模型表現不佳的影響會被放大。不管理人工智能風險的組織更有可能遇到負面的人工智能結果和違規行為。模型不會按預期運作，并且會出現安全和隐私問題、财務和聲譽損失以及對個人的傷害。錯誤執行的人工智能也可能導緻組織做出糟糕的業務決策。

為確定人工智能系統的安全性和合規性，企業應當對人工智能技術的運用進行治理。有效的人工智能治理将包括以下關鍵控制領域：

► 法規和政策——了解适用的法律法規，制定人工智能領域的政策

► 标準和規範——制定人工智能安全要求的标準和規範，以納入人工智能系統和解決方案

► 技術方法——實施技術措施以應對人工智能風險

► 安全評估——評估人工智能系統的安全性、彈性和穩健性，并進行持續監控和審查

► 人才發展——為負責人工智能開發、部署和管理的員工提供充分的教育訓練

► 可控環境——確定人工智能解決方案在其整個生命周期内可解釋且一緻，并保持人工對人工智能系統的監督

安全管理正面對的挑戰

首先，整個網絡安全行業的勞動力缺口正在逐年擴大。在需求方面，在新冠肺炎疫情肆虐下，世界各國為此實施不同程度的防疫政策，保障人民生命健康。為應對營商環境的轉變，愈來愈多企業是以走向數字化轉型，包括将線下業務遷至線上發展、安排員工遠端工作、把IT基礎設施遷移到雲計算環境等等，力求在激烈變化的環境下為企業擷取新的業務機會。但與此同時，企業在網絡安全方面所暴露的攻擊面亦随之增加。為此，企業需要采取措施加強網路安全防護水準，例如聘用網絡安全專家或尋求安全托管服務來為企業部署安全解決方案，并對企業IT環境進行監控、評估和優化。

其次，在安全服務供應方面，在Ponemon Institute LLC 釋出的“Improving the effectiveness of the Security Operation Center”[1]研究報告中，可以看到安全營運中心（SOC）在日常營運當中存在不少痛點，有73%的受訪者認為“不斷增加的工作量會導緻工作上的倦怠”，有65%的受訪者表示“那些痛點令他們考慮辭去分析師崗位以謀求其他職位”，從長遠的角度來說，市場必将出現安全分析師供應短缺的情況。不少 SOC的安全分析師長期面臨着海量枯燥的工作，例如長時間的輪班、警報帶來的乏味、耗時的調查，是以，有部分經驗豐富的分析師願意轉向其他職位以減少工作上的壓力。此外，安全營運團隊每天都需要處理來自多個安全平台的警報，其中包括不少虛假警報，這遠遠超出了團隊人員能夠擔負的處理速度。

最後，随着網際網路應用的普及化，所對應的網絡威脅數目随之上升，而且其複雜性也相對增加，為此對網絡安全也帶來了挑戰。如今，移動裝置、物聯網、雲計算在企業中的應用日益普及，攻擊面也相對增加。此外，黑客可以利用人工智能來不斷變形病毒/惡意軟體，而傳統的靜态防禦解決方案未必能對此有效檢測以及阻斷。另一個原因是網絡攻擊服務化（Cyberattack-as-a-Service），令網絡攻擊變得普及，攻擊者自身不須擁有強大的黑客知識亦可以通過支付加密貨币獲得攻擊工具。

人工智能如何改變安全營運

人工智能在安全營運中的其中一大作用是協助安全分析師的工作。畢竟，它不太可能完全取代有經驗的人類。反之，人工智能可以專注于比人類擅長的領域去協助人類，如分析大資料，替人類進行繁瑣、重複的任務，以便分析師能夠發揮更複雜的技能，如創造力、細微差别和專業知識。

此外，通過人工智能對安全事件進行分析，查詢海量資料并在整個網絡中進行透視，以收集事件告警的背景并進行調查，整理出高優先級的事件讓分析師加以關注。同時，人工智能通過分析人類分析師調查警報的過程，進行訓練以及機器學習，當未來有類似的事件發生時，機器可在通知分析師前生成多個查詢，并同時調查所有平行威脅。

人工智能在安全營運的應用

為人類帶來增援

為應對海量的告警以及進階持續性威脅（Advanced Persistent Threat, APT），網絡安全營運團隊積極尋求人工智能（AI）和機器學習（ML）來提高效率，分析師是以能減少分析所需時間，包括采用人工智能的威脅狩獵工具（Threat hunting tool）提高企業對隐藏威脅的檢測。例如，采用無監督ML算法的使用者行為分析工具（User behavior Analytics, UBA）可以持續監測和分析使用者活動、系統安全變化、網絡流量和對應用程式和資料的通路檢測和标記異常情況，使得該威脅對環境造成破壞之前，企業可以把未知的威脅更快地轉化為已知的威脅。是以，網絡安全營運團隊在 AI/ML工具協助下，可以采取更積極的政策，對事件作出相應的反應。

識别攻擊

針對惡意軟體以及惡意行為，傳統的安全解決方案大多以特征（Signature-based）檢測來進行識别。可是，它必須在漏洞被公開以及廠商開發團隊加入攻擊特征後才能識别威脅。然而，時下較流行的攻擊大多以TTP（Tactic, Technique, Procedure）去避開特征的檢測。采用人工智能檢測，可通過分析大量日志、事件類型，以及結果去識别全新、經過變形或APT攻擊，進而更快識别出威脅。

事件響應自動化

在事件響應（Incident Response）的方面，相對于安全分析師，基于人工智能的安全工具一旦發現威脅就可以對其作出反應。事件響應的自動化使事件的響應更加容易，而且速度和效率更高。其次，AI/ML在事件響應中通過記錄威脅模式及其随時間變化的特征，建立威脅資訊庫并分析這些威脅如何運作，進而根據算法驅動的分析來建立事件響應預案。

透過使用由AI/ML驅動自動生成的預案，可以使SOC 更有效地集中資源。人工智能事件響應工具可以根據風險分析和以前的事件響應，當面對類似的安全事件，即可以給予分析師如何執行的建議。人工智能事件響應工具亦可根據安全分析師的專業知識、實際可用性和案例曆史，作出資源配置設定，向SOC團隊建議如何作出人員配置設定。這有助于提高整個團隊的分析效率，同時利用自動化來節省安全分析師的時間，以進行更進階别的增值工作。

網絡安全營運團隊該如何面對人工智能

通過以上對人工智能影響安全營運的了解，我們可以預見人工智能的出現将改變大多數IT和資訊安全行業人員的角色。有部分的行業人員對此有着極大的擔憂，例如擔心自己會被人工智能控制的機器人取代。事實上，人工智能工具能為資訊安全專業人員創造機會，使他們能夠更有效地履行工作職責，同時也可利用新洞察來改善整個資訊安全計劃，并與SOC之外的其他團隊展開更多合作。

在一般的SOC工作中，安全分析員每天檢視網絡流量和來自不同系統的日志，以确定安全事件是否構成需要進一步調查的威脅。而SOC傳統的分工上，一線（Tier-1）分析師負責檢視警報，二線（Tier-2）分析師尋找可能的攻擊，三線（Tier-3）分析師執行事件響應，安全工程師則負責想出更好的方法來使基礎設施更加安全。

然而，當我們把人工智能以及自動化應用在安全營運的場景後，人工智能會代替分析師處理以往相對低階和繁雜的日常工作，如檢視告警、分析、檢測等等。故此，團隊必須調整每個崗位的角色以及職責，調整教育訓練計劃的重點，例如讓分析師建立與人工智能系統合作的技能，建立良好的溝通技巧以便對企業的業務部門解釋安全問題。

結語

在當今人工智能持續發展的趨勢下，企業應以不同視角去看待人工智能的使用，特别是人工智能如何影響網絡安全管理。雖然人工智能的使用為企業帶來挑戰和風險，但同時人工智能也能有效解決勞動力短缺以及有效提升網絡安全管理的效果和效率。故此，企業為有效應對挑戰以及控制風險，應及早制定内部人工智能安全要求的政策、标準和規範，開展對人工智能的應用研發，建構人工智能驅動的網絡安全管理能力。在企業不斷發展的道路上，人工智能将助力企業在現今的大環境中提高生産力及綜合競争力。

最後，安永專業團隊希望透過提供各種服務，協助企業在評估、計劃、建構、實施等不同階段，成功實施人工智能網絡安全和安全管理。服務包括但不限于：

► 合規性評估

► 安全風險評估

► 内部政策的制定和審查

► 員工教育訓練材料和研讨會

► AISecOps工具的微調和實施

► AISecOps成熟度評估

注：

[1] Ponemon Institute LLC. (n.d.). Improving the effectiveness of the security operations center - devo.com. Retrieved October 31, 2022, from https://www.devo.com/wp-content/uploads/2019/07/2019-Devo-Ponemon-Study-Final.pdf

本文是為提供一般資訊的用途所撰寫，并非旨在成為可依賴的會計、稅務、法律或其他專業意見。請向您的顧問擷取具體意見。