云安全：从入侵防御系统中学到的经验

人工智能驱动的公有云技术的发展正在改变企业“默认保护”的游戏。

我最近有机会向一位行业分析师介绍人工智能AI在解决公有云安全方面的快速进步。分析人员和我都在探索入侵防御系统(IPS)的开始和商业化，并且多年来一直持怀疑态度，仅仅因为安全技术能够防止威胁或主动攻击，客户不一定会处于保护模式。

即便在今天，我也估计80%的网站IPS是在仅检测模式下运行的，而且虽然运行的很好，但基于主机IP下可能只在60%的企业环境中部署为仅检测和警报。

在我们的谈话中，我们两个人都出现了一个问题：客户是否准备开启保护?或者更具体的说，为什么客户现在可以启用保护件?自从我与分析师进行初步讨论以来，我一直在寻找一种更完整的方式来阐明为什么我认为IPS历史无法回答为什么默认情况下为云中运营的企业启用保护的问题。

无论是否具有下一代或NG前缀，IPS都应以独立方式运行，有点像防火墙，独立分析本地流量和数据流，识别特定事件或攻击技术，发出警报，以及(如果在预防模式下操作)阻止或终止该流。由于三个严重的异议，企业安全团队通常不愿意启用IPS阻止。

• 预防决策是在IPS设备级实时进行的，依赖于在网络中特定的时间和物理位置检查流媒体流量。因此，IPS不是“情景感知”，如果不定期执行专家环境调整，则会导致高水平的误报率。
• 在当地针对所检查的交通流和数据流进行预防行动，虽然IPS可能最适合检测企业内该物理位置的特定威胁，但通常不是采取预防措施的最佳位置。
• IPS可用的预防方法相当粗糙，从防火墙级别的流量阻塞到执行会话终止的TCP重置，需要粗粒度的响应参数(例如，IP地址，端口号，协议)

在企业安全和威胁可见性方面，公有云和人工智能的使用非常简单，是游戏改变者。

客户的核心是为计算、存储或流量计量和计费客户，同时具有动态平衡工作负载和按需弹性扩展的透明功能，提供不同于传统企业网络架构中的环境可见性和控制水平。

虽然大多数公共云提供商的内置安全产品与其企业网络同类产品具有相同的术语，但他们几乎没有相似之处，因为他们专门针对该提供商的云构建，并受益于独特的环境可见性，共享日志记录和警报处理，跨产品分析，内置自动化和编排API，以及越来越先进的AI功能。

公有云客户可以立即看到改进中的局部部分，但是为什么安全团队会像IPS中一样启用并允许云中的“保护”?我相信技术答案在于以下几项的组合：

• 保护决策自动应用于云环境中最有效和最自然的位置，而不仅仅是主要检测可能发生的位置。这样可以在阻塞是提高精度。
• 缓解步骤不必是严苛的全有或者全无控制，而是可以同时分布在多个安全产品和云应用程序之间。这大大减少了可能产生的负面业务影响和不良用户体验。例如，在处理从共享和受信任的远程设备发起的可以用户时间时，结合了条件访问控制和网络流量限制。
• 跨产品的可见性和威胁遥相结合，允许智能系统识别新的威胁，并在较低的阈值和如何在独立的单源保护产品中获得更高的信心来做出决策。
• 随着传统签名和基于统计的方法被高精度监督学习模型和行为异常能力所取代，威胁监测精度，异常识别和标记以及整体检测置信水平都有所提高。

虽然云安全产品的技术能力增强了其对保护能力的信心，但我认为两个更重要的动态在于云中推动“默认保护”比内部部署更快。

• 首先，攻击的数量，复杂性和快速性的升级迫使组织比以往更快，更自动的响应威胁;之后更容易预订启用保护并调整业务异常。
• 其次，也许最重要的是，大多数迁移到公共云的企业没有内部信息安全专业知识。简而言之，安全警报是不可行的，并且会分散他们的注意力。他们需要一个安全平台来运营他们的业务，并希望云提供商能够全面保护他们。