在数字化与智能化持续深入发展的背景下,网络安全攻防正进入新的阶段。人工智能不仅正在改变企业的业务运营模式,也正在深刻影响网络攻击与安全防御的速度、规模及复杂度。
随着攻击者开始利用AI开展自动化侦察、漏洞利用、恶意代码生成、钓鱼攻击和检测规避等活动,企业的网络安全防御体系也需要从传统依赖人工分析、规则驱动与被动响应的模式,逐步向AI赋能的智能化、主动化和韧性化防御演进。
毕马威与世界经济论坛联合发布最新白皮书《赋能防御者:AI在网络安全中的应用》(Empowering Defenders: AI for Cybersecurity),基于全球真实案例和跨行业洞察,探讨企业如何将AI打造为网络安全防御的关键战略能力,应用于治理、识别、保护、检测、响应与恢复等网络安全生命周期的关键环节。
报告指出,AI在网络安全领域的价值并不仅限于“自动化”,更体现在增强安全人员分析与决策能力、提升威胁检测与响应速度、强化跨系统关联分析,以及优化安全运营决策等方面,帮助企业在快速变化的威胁环境中建立更具韧性的防御体系。
一方面,攻击者正在利用AI降低攻击门槛、提升攻击效率,并扩大攻击影响。过去可能需要数周完成的攻击工作,如今已能通过AI相关自动化工具在更短时间内完成。
另一方面,防御者也正在借助AI提升企业安全能力。从威胁检测、漏洞识别、行为分析,到事件响应和恢复,AI正逐步成为企业网络安全体系中的重要能力组件。
报告认为,企业需要将AI从“实验性工具”提升为“战略性安全能力”。这意味着,AI不应仅被视为某个安全产品的功能模块,而应被纳入企业整体风险管理、安全运营和业务韧性建设之中。
AI能力的引入需要配套清晰的治理框架。企业需要明确AI在安全运营中的使用边界、责任机制、审批流程和监控要求,特别是在涉及自动化决策、AI Agent操作及敏感数据处理的场景中,确保AI能力可控、可审计、可追九游体育股份有限公司溯且可持续优化。
在复杂的企业环境中,安全团队往往面临大量资产、漏洞、身份、日志及威胁情报数据。AI可以帮助企业对多源信息进行关联分析,识别更高风险的攻击路径及优先处置对象,提升风险识别效率与资源投入精准度。
AI可被应用于异常行为识别、钓鱼攻击检测、恶意活动识别、威胁情报整理及攻击模式发现等场景。相比传统规则驱动方式,AI能够在更加复杂和动态的环境中识别潜在威胁,帮助安全团队更早发现风险信号并缩短检测时间窗口。
在安全事件发生后,AI可以协助安全团队自动化收集证据、关联日志、生成调查线索并推荐处置路径,同时结合安全编排、自动化与响应能力提升响应效率。对于大型企业而言,这有助于降低平均调查时间(MTTI)与平均响应时间(MTTR),提升安全响应与恢复的效率,减少安全事件的影响。
随着AI Agent能力的发展,未来安全运营可能从“AI辅助分析”进一步走向“AI参与执行”。但与此同时,企业也需要建立更加完善的护栏机制,包括人机协同、权限边界、操作审计、异常监控及风险分级等能力,避免AI Agent本身成为新的安全风险来源。
报告提出,企业在推进AI for Cybersecurity时,不应仅关注技术部署本身,而应从战略、成熟度、试点验证和持续优化四个方面推进。
AI安全能力建设应服务于企业核心目标,例如业务韧性、合规要求、客户信任、运营效率及成本优化。企业需要优先识别最能产生业务价值的安全场景,而不是“为了使用AI而使用AI”。
AI能力的有效运行依赖高质量数据、清晰流程、可集成的技术架构、成熟的安全运营机制以及具备相应技能的人才团队。若成熟度不足,AI不仅无法发挥预期效果,甚至可能掩盖现有流程和治理缺口。
在全面部署之前,企业可优先选择一至两个高价值、高可行性的场景开展试点,例如告警分诊、威胁情报分析、漏洞优先级排序、异常行为识别或事件响应辅助等,并通过明确指标对实际价值进行量化评估。
AI网络安全能力上线后,企业需要持续评估模型效果、误报与漏报情况、响应效率、治理风险和业务影响。随着威胁形势、业务环九游体育股份有限公司境和监管要求变化,AI能力也需要持续调优和迭代。
AI赋能网络安全的核心价值,不仅在于帮助企业“做得更快”,更在于帮助企业“看得更早、判断得更准、响应得更稳”。
在传统安全运营模式下,安全团队往往依赖规则、经验及人工分析,在海量告警中识别真正重要的风险。随着企业IT环境、云环境、身份体系及供应链生态日趋复杂,仅依靠人力与静态规则,已经难以支撑未来的安全防御要求。
这意味着,未来的安全运营中心将不再只是“事件处理中心”,而会逐步演进为由数据、智能、流程和专家共同驱动的“主动防御中心”。
结合全球报告洞察,毕马威持续推进AI驱动的主动防御能力建设,帮助企业将AI能力真正应用于安全治理和安全运营场景。
在AI驱动的安全运营方向,毕马威已形成覆盖安全运营中心转型、身份风险分析、行为分析、事件响应及安全编排等多个场景的能力体系,包括:
通过AI对海量安全告警进行自动分类、聚合、降噪及风险评分、优先级排序,帮助安全团队降低无效告警占比,将分析资源聚焦于真正重要的风险事件。
基于用户、设备、账号、应用和访问行为数据,识别异常登录、异常访问、权限滥用、横向移动及内部威胁等风险,提升对复杂攻击和隐蔽行为的检测能力。
围绕员工账号、特权账号、服务账号、API密钥、机器身份和AI Agent身份,帮助企业识别身份风险、权限暴露及访问异常,构建面向AI时代的身份安全治理体系。
通过知识图谱对SIEM、EDR、云日志、身份系统、网络流量及威胁情报等多源数据进行关联分析,帮助企业在近实时场景下还原攻击链,提升上下文分析与威胁关联能力。
通过AI Agent辅助安全分析师开展事件调查,包括上下文补全、日志检索、攻击路径推理、响应建议生成及告警优先级动态调整,提升研判效率和处置一致性。
结合安全编排、自动化与响应能力,实现智能化剧本执行、自适应响应动作及跨工具联动,帮助企业缩短事件响应时间,提升安全运营标准化与自动化水平。
基于大规模数据检索和分析能力,帮助企业识别潜在攻击面、暴露资产及风险聚集点,为安全团队提供更加主动的风险洞察和早期预警信号。
在某客户的安全运营中心转型项目中,客户长期面临海量日常安全告警,安全团队难以依靠人工方式完成全面分诊。同时,SIEM、EDR及云日志等安全工具之间的数据相对分散,分析师需要手动关联多个系统,导致威胁检测、事件调查及响应处置效率受限。
毕马威协助客户引入AI驱动、以情报为中心的安全运营框架,围绕告警分诊、行为分析、事件关联、AI辅助调查和SOAR响应等能力开展建设。
项目通过自动化告警分诊机制,对海量告警进行分类与优先级排序,降低噪音并提升信噪比;通过AI/ML驱动的UEBA能力识别异常行为与内部威胁;通过知识图谱关联多源安全事件,帮助客户近实时还原攻击链;通过AI Agent辅助调查与决策优化,动态调整告警优先级、补充事件上下文并推荐响应策略;同时结合AI-powered SOAR能力,推动安全剧本的智能执行和自适应响应。
项目最终帮助客户显著降低平均调查时间与平均响应时间,并在不增加安全运营人员的情况下支持更大规模的日志处理需求,推动安全运营模式从传统的被动响应逐步转向更加智能化、主动化的体系。
随着中国网络安全市场规模持续扩大,相关监管与制度体系不断完善,网络安全行业正迈入高质量发展的新阶段。企业网络安全文化的持续建设与深化,已成为提升整体安全管理成熟度的关键基础。
毕马威网络安全与数据保护团队深耕行业多年,由网络安全、信息技术、风险管理及法律等多领域专家组成,致力于为金融、制造、能源、零售与消费品、生命科学及医疗健康等行业客户,提供覆盖评估、规划、设计、实施及运营的端到端网络安全服务。
面对AI时代的网络安全挑战,毕马威将持续结合全球洞察、本地实践和行业经验,帮助企业建设更加智能化、主动化和韧性化的安全防御体系,推动企业从“应对风险”走向“建立信任”,从“被动防御”走向“主动防御”。
本文内容仅供一般参考用,并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料,但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。