人工智能驅動的公有云技術的發展正在改變企業“默認保護”的游戲。

我最近有機會向一位行業分析師介紹人工智能AI在解決公有云安全方面的快速進步。分析人員和我都在探索入侵防御系統(IPS)的開始和商業化，并且多年來一直持懷疑態度，僅僅因為安全技術能夠防止威脅或主動攻擊，客戶不一定會處于保護模式。

即便在今天，我也估計80%的網站IPS是在僅檢測模式下運行的，而且雖然運行的很好，但基于主機IP下可能只在60%的企業環境中部署為僅檢測和警報。

在我們的談話中，我們兩個人都出現了一個問題：客戶是否準備開啟保護?或者更具體的說，為什么客戶現在可以啟用保護件?自從我與分析師進行初步討論以來，我一直在尋找一種更完整的方式來闡明為什么我認為IPS歷史無法回答為什么默認情況下為云中運營的企業啟用保護的問題。

無論是否具有下一代或NG前綴，IPS都應以獨立方式運行，有點像防火墻，獨立分析本地流量和數據流，識別特定事件或攻擊技術，發出警報，以及(如果在預防模式下操作)阻止或終止該流。由于三個嚴重的異議，企業安全團隊通常不愿意啟用IPS阻止。

• 預防決策是在IPS設備級實時進行的，依賴于在網絡中特定的時間和物理位置檢查流媒體流量。因此，IPS不是“情景感知”，如果不定期執行專家環境調整，則會導致高水平的誤報率。
• 在當地針對所檢查的交通流和數據流進行預防行動，雖然IPS可能最適合檢測企業內該物理位置的特定威脅，但通常不是采取預防措施的最佳位置。
• IPS可用的預防方法相當粗糙，從防火墻級別的流量阻塞到執行會話終止的TCP重置，需要粗粒度的響應參數(例如，IP地址，端口號，協議)

在企業安全和威脅可見性方面，公有云和人工智能的使用非常簡單，是游戲改變者。

客戶的核心是為計算、存儲或流量計量和計費客戶，同時具有動態平衡工作負載和按需彈性擴展的透明功能，提供不同于傳統企業網絡架構中的環境可見性和控制水平。

雖然大多數公共云提供商的內置安全產品與其企業網絡同類產品具有相同的術語，但他們幾乎沒有相似之處，因為他們專門針對該提供商的云構建，并受益于獨特的環境可見性，共享日志記錄和警報處理，跨產品分析，內置自動化和編排API，以及越來越先進的AI功能。

公有云客戶可以立即看到改進中的局部部分，但是為什么安全團隊會像IPS中一樣啟用并允許云中的“保護”?我相信技術答案在于以下幾項的組合：

• 保護決策自動應用于云環境中最有效和最自然的位置，而不僅僅是主要檢測可能發生的位置。這樣可以在阻塞是提高精度。
• 緩解步驟不必是嚴苛的全有或者全無控制，而是可以同時分布在多個安全產品和云應用程序之間。這大大減少了可能產生的負面業務影響和不良用戶體驗。例如，在處理從共享和受信任的遠程設備發起的可以用戶時間時，結合了條件訪問控制和網絡流量限制。
• 跨產品的可見性和威脅遙相結合，允許智能系統識別新的威脅，并在較低的閾值和如何在獨立的單源保護產品中獲得更高的信心來做出決策。
• 隨著傳統簽名和基于統計的方法被高精度監督學習模型和行為異常能力所取代，威脅監測精度，異常識別和標記以及整體檢測置信水平都有所提高。

雖然云安全產品的技術能力增強了其對保護能力的信心，但我認為兩個更重要的動態在于云中推動“默認保護”比內部部署更快。

• 首先，攻擊的數量，復雜性和快速性的升級迫使組織比以往更快，更自動的響應威脅;之后更容易預訂啟用保護并調整業務異常。
• 其次，也許最重要的是，大多數遷移到公共云的企業沒有內部信息安全專業知識。簡而言之，安全警報是不可行的，并且會分散他們的注意力。他們需要一個安全平臺來運營他們的業務，并希望云提供商能夠全面保護他們。