自動化網絡安全防御可快速、準確地識別并響應威脅，前景十分誘人。波耐蒙研究所的調查研究發現，數據泄露事件的平均成本已高達386萬美元，平均檢測和控制時間也固定在280天之久，絲毫不見縮短。可以說，企業對任何能夠降低這些數字的系統都翹首以待。于是，人工智能(AI)和其他自動化防御技術的快速普及也就不足為奇了。

網絡罪犯和其他黑客也可以使用同樣的技術，或者操縱企業采用的自動化系統。由于這些技術并不成熟，或者普通IT部門對之不甚了解，也留下了錯誤配置和重疊系統間相互沖突的可能性。

[[422002]]

不切實際的期望

網絡安全的每一個新興趨勢都伴隨著炒作。自動化防御技術浪潮被吹噓為應對安全人才短缺和攻擊不斷升級的良藥。安全編排、自動化與響應(SOAR)、擴展檢測與響應(XDR)和用戶及實體行為分析(UEBA)便是這股浪潮的風口浪尖。但問題是，這些技術的功能有時候被夸大了，而其引入的問題可能會多過好處。

大多數企業的規模和復雜程度增加了技術采用的難度。想要收獲自動化系統的種種好處，離不開適當的規劃和兼容的基礎設施。而且，企業還存在將這些新技術“物盡其用”的危險想法，不管適不適用都想用上一把，尤其是在做出大筆投資之后。

盡管長期來講這些新技術可以節約成本，但短期內自動化系統的恰當集成和管理可能反而會增加成本。不切實際的期望和自滿有可能引發災難。

缺乏了解

自動化網絡安全賽道十分擁擠。360 Research Reports的報告顯示，SOAR市場增長迅速，預計2026年市場規模將達13億美元，遠超今年的7.21億美元。市場領導者天然想要保護他們的知識產權。很多機器學習系統也依賴黑箱模式，幾乎無法窺探此類產品的內部工作機制。

如果連供應商都不了解決策是怎么做出的，其客戶又從何得知呢?

對未經證明的自治系統賦予如此信任是極具風險的。更糟的是，自治系統還會產生連鎖反應，擠占企業人才的生存空間。隨著自治系統頂著可填補人才缺口的期望接管工程師的工作，人才招聘將變得越來越少，員工培訓的意愿也會下降。

數據集中毒

信任自動化系統的幾大危險之一，是自動化系統可能遭到黑客篡改。遭攻擊的企業根本無法得知系統是否被篡改。用經篡改的數據集給自動化系統下毒太容易不過。數據集中毒可能會令機器學習算法隨時間推移發生危險的扭曲，或者導致無辜流量在短期內被標記為異常。攻擊者未必需要欺騙系統，他們只需要使之超載即可突然關停服務或網絡，讓所有人都不得其門而入。

即使沒有惡意黑客的暗中謀劃，一些自動化防御技術也可能與公司網絡上的其他工具和系統發生沖突。以感染導致人體發燒為例。免疫系統升高體溫，試圖殺死侵入人體的細菌，但在極端情況下，發熱可能導致失能甚或死亡。

怎樣合理采用

盡管存在風險，自動化網絡安全防御技術也代表著真實的機會。但如何采用卻必須小心謹慎。采用自動化網絡安全防御技術必須經過周密的計劃，設置合理的期待值，并確保公司有內部人才可以正確配置和詮釋自動化系統。

我們有必要評估這些系統的自治程度，并限制其在無人監督情況下關停服務的能力。信任建立必須緩慢而謹慎。應仔細審查自動化防御的依賴源，找到可以持續監測數據集的方法，防止中毒攻擊嘗試。

制定事件響應計劃可以緩解風險，滿足各種自動化系統故障的場景。排演這些響應計劃并按需做出調整，這樣可以確保計劃有效。實施嚴格的測試和變更管理以減少對任何自動化系統的過度依賴也是明智之舉。

毫無疑問，自動化網絡安全防御將發揮越來越重要的作用，但我們必須忍住倉促上馬的誘惑。想要充分發揮這項新興技術的效用，就要選擇經過深思熟慮的策略而非盲目信任，并且要適當調整自己對這項技術的期待值。