识别和响应威胁的速度和准确性是自动化网络安全防御的诱人承诺。根据Ponemon Institute 的研究，数据泄露的平均成本为 386 万美元，检测和控制的平均时间为 280 天。任何可以减少这些数字的系统都是受欢迎的，因此人工智能 (Artificial Intelligence简称AI) 和其他自动防御正在迅速和广泛地被采用也就不足为奇了。

虽然人工智能驱动的工具和机器学习有着巨大的前景，但它们在很大程度上是 一把双刃剑。网络犯罪分子和其他威胁行为者可以使用相同的技术或操纵企业使用的自动化系统。由于这些技术并不成熟或未被普通 IT 部门充分理解，因此重叠系统之间也存在配置错误和破坏性冲突的空间。

不切实际的期望炒作伴随着每一个新的网络安全趋势。一波自动化防御技术被誉为解决技能短缺和攻击水平不断提高的方法。安全编排自动化和响应 (Security Orchestration, Automation and Response简称SOAR)、扩展检测和响应 (External Data Representation简称XDR) 以及用户和实体行为分析 (User and Entity Behavior Analytics简称UEBA)处于领先地位。麻烦的是，他们的能力有时会超卖，他们引入的问题可能会超过收益。

大多数组织的范围和复杂性使得采用具有挑战性。要获得自动化系统的回报，需要适当的规划和兼容的基础设施。还有一种危险的诱惑，尤其是在进行了大量投资之后，推动这些新技术来处理它们原本无法处理的事情。

虽然从长远来看它们可以削减成本，但自动化系统的适当集成和管理会在短期内增加成本。不切实际的期望和自满会导致灾难。

缺乏了解自动化网络安全是一个竞争领域。根据360 研究报告，SOAR 市场正在快速增长，预计到 2026 年将达到 13 亿美元，高于今年的 7.21 亿美元。领导者自然有决心保护他们的知识产权。许多机器学习系统也依赖于黑盒模型，因此对这些产品的内部运作的洞察力极少（如果有的话）。

如果供应商不明白为什么要做出决定，他们的客户怎么能理解呢？

将这种程度的信任置于未经证实的自治系统中是非常冒险的。更糟糕的是，整个员工队伍的技能下降会产生连锁反应。随着自动化系统接手，期望它们将填补技能差距，招聘人数将会减少，对培训的激励也会减少。

中毒数据集信任自动化系统的最大危险之一是它可以被威胁行为者操纵。受到攻击的组织无法知道系统是否被篡改。使用受污染的数据集毒害自动化系统非常容易。随着时间的推移，这可能会危险地扭曲机器学习算法，或者在短期内导致无辜的流量被标记为异常。攻击者不一定要欺骗系统；他们可以让它超载，导致服务或网络关闭，这可能会使每个人都被锁定。

即使没有恶意行为者在工作，一些自动防御也可能与网络上的其他工具和系统发生冲突。以感染引起人体发热为例。免疫系统正在提高热量以试图杀死侵入您身体的细菌，但在极端情况下，发烧会使您丧失能力甚至杀死您。

尽管存在风险，但自动化网络安全防御也代表着真正的机会。但必须小心处理。应充分计划采用，设置合理的期望水平，并确保您具有正确配置和解释自动化系统的内部技能。

评估这些系统的自主程度并限制它们在没有人为监督的情况下关闭服务的能力至关重要。慢慢建立信任。仔细检查自动防御所依赖的来源，并找到一种方法来持续监控数据集以防止威胁。

通过起草事件响应计划来满足不同的自动化系统故障场景来降低风险。排练这些响应计划并根据需要对其进行调整以确保它们有效。实施严格的测试和变更管理以减少对任何自动化系统的过度依赖也是明智之举。

毫无疑问，自动化网络安全防御将发挥越来越重要的作用，但我们必须抵制过快行动的诱惑。选择一个经过深思熟虑的策略，而不是盲目信任，降低您从这项新兴的技术中获得最大的收益的期望。（本文出自SCA安全通信联盟，转载请注明出处。）