摘要：人工智能可以帮助人们确定网络攻击的发生方式。每次网络攻击看起来都比以前更加复杂，因此安全团队会让人们相信。一般而言，网络行为可能很复杂，但是只有当尝试重建攻击的故事时，这种复杂性才会显现出来，并且这种情况或故事情节很重要。这些复杂的故事情节通常始于企业系统的端点。

    人工智能可以帮助人们确定网络攻击的发生方式。每次网络攻击看起来都比以前更加复杂，因此安全团队会让人们相信。一般而言，网络行为可能很复杂，但是只有当尝试重建攻击的故事时，这种复杂性才会显现出来，并且这种情况或故事情节很重要。这些复杂的故事情节通常始于企业系统的端点。
　　
　　端点就是员工可能会插入他们USB设备的地方，并且员工很好奇地想知道其中有什么。或者，某个员工打开了一封电子邮件中收到的恶意PDF附件。企业可以了解一下发生大量攻击的端点以获取可见性。端点是可用的网络和进程活动，甚至可以在其中进行外部设备监视。举例来说，是谁插入了那个USB设备，何时何地插入USB设备？
　　
　　使用端点保护平台（EPP），人们对攻击的了解比过去几年要多：这些产品依靠病毒签名，却完全不了解基于内存的恶意软件、横向移动、无文件恶意软件或零日攻击。
　　
　　但这就是问题所在：端点保护平台（EPP）可以保护端点，但不能使组织看到威胁。第一代端点检测和响应（EDR）工具是对端点保护平台（EPP）根本无法提供的可见性需求的副产品。另一方面，这一代端点检测和响应（EDR）为人们提供了数据，但没有场景。人们这些问题的碎片，但没有整体图可以将它们融合在一起。
　　
　　企业的首席信息安全官（CISO）的想法并不是对攻击中每一个断开的断开数据的渴望。相反，它更像是一个线索游戏：是来自USB驱动器的承包商？是否是敌对国家赞助的威胁组织？威胁是否已缓解？如果已缓解，威胁持续了多长时间？SOC的哪些分析师中很少有分析师正在分析其被动端点检测和响应（EDR）引发的数据海啸？
　　
　　什么是行为人工智能，它如何提供帮助？
　　
　　受到网络攻击之后会发生什么？这种故事有两种方式，最有可能是人们熟悉第一种严重问题的方式：即安全分析师必须筛选被动端点检测和响应（EDR）产生的所有警报和异常情况。这些调查需要时间和技巧：鉴于发现、训练和留住具备操作安全平台专业知识的人员以及将进行鉴别和分离的专业知识，这种做法非常困难，这是一种稀有商品，将会发生随机的错误。
　　
　　故事还有另一种发展的方式，而且恰如其分地涉及故事情节：将所有不同数据点的场景化为简洁的叙述。这是一种行为人工智能模型，它不仅使组织摆脱仅依赖于难以获取的分析师技能的麻烦，而且还昼夜不停地这样做，不断记录并围绕接触网络的每台设备上发生的所有事情提供场景。
　　
　　现代的网络攻击者已经找到了一种方法，使用内存中的无文件恶意软件来躲避除最复杂的安全解决方案之外的所有内容，从而摆脱以前对文件的依赖，而不会留下任何痕迹。但是，由于行为人工智能模型会对其进行全程跟踪，因此它为人们提供了一种检测攻击者的方法，这些攻击者可能已经在人们的环境中拥有凭据，并且可能通过描述无文件、无恶意软件的术语攻击使用系统自己的原生工具来完成其攻击行为，从而混入网络并隐藏在合法的进程中，以进行隐蔽的利用。
　　
　　显然，企业需要一个人工智能助手。实际上，每一个接触网络的设备上都有一个人工智能代理，这节省了大量时间。它使企业不必完全依靠人员分析有时根本没有用的东西。
　　
　　行为人工智能可用于自动缓解，并将成为强大的游戏规则改变者。该技术能够在设备上做出决定，而无需依靠云计算或人类来告诉它该做什么。
　　
　　监视行为是一个棘手的复杂问题，人们想要向算法提供功能强大、信息量大且场景丰富的数据，这些数据确实可以捕获程序执行的本质。为此，企业需要在非常低的级别上监视操作系统，最重要的是，将各个行为联系在一起以创建完整的“故事情节”。例如，如果某个程序执行另一个程序，或者使用操作系统来计划其自身在启动时执行，则不想考虑这些不同的。孤立的执行，而只考虑一个故事。
　　
　　在行为数据上训练人工智能模型类似于训练静态模型，但是增加了时间维度的复杂性。换句话说，企业无需考虑一次评估所有功能，而需要考虑到各个时间点的累积行为。有趣的是，如果企业有足够的数据，则实际上并不需要人工智能模型来将执行定为恶意。例如，如果程序开始执行但没有用户交互，则它会尝试在计算机启动时注册自己以启动，然后开始监听按键，这可能会说它很可能是按键记录程序，应该停止。只有强大的行为引擎才能实现这些类型的表达“启发式”。
　　
　　行为人工智能自动缓解可以使企业没有数据泄露，不会上头条新闻，也没有接到FBI的调查电话。
　　
　　编辑：Harris