过去几年，安全措施大幅增加，恶意行为者不断提升技术水平，尤其是在无证恶意软件等攻击手段的推动下。同样，AWS Lambda等“无服务器”计算平台的安全模型与传统计算机完全不同。传统的针对已知恶意软件样本检查文件哈希的模型无法有效保护这些流动计算概念。

为了实现强大的现代化防御，我们必须采用自适应监控解决方案，并使用机器学习来识别指示其初始攻击的异常模式，从而保护企业系统免受网络攻击。

在过去的几年里，已经打下了许多基础。终端检测服务分析系统事件。"打开网络连接，修改注册表项，创建进程.您已经为这种真正与安全相关的行为建立了目录。Forrester的高级安全和风险分析师Josh Zelonis说：“挑战在于找出基本上做同样事情的已知恶意行为。“你必须在房间里有两个人来构建这个：一个了解地图并能构建这些模型的数据科学家.[和]一个积极进取的技术专家，帮助他们建立模型，并理解他们抽象地在做什么，这样他们就可以从统计上确定他们的对手在做什么看起来相似。”

准确地将系统事件的聚合与异常活动联系起来只是安全阶梯的一步——确定工作流中的合法变化与恶意活动之间的区别是机器学习或人工智能的更高级任务。使用ML/AI的安全信息和事件管理(SIEM)的各种方法可以从各种供应商处获得。

AI/ML电源解决方案的领先供应商

ExtraHop

ExtraHop的Reveal(x)平台为企业网络提供网络流量分析，提供对连接的洞察，并使用基于规则的分析和基于行为的分析来识别具有逻辑设备组的潜在威胁。该平台还宣传“每项测试的完整上下文和一键调查工作流程”。

维克特拉网络公司

Vectra Cognito是一个基于AI的安全平台，它使用对已知恶意软件有效载荷和技术的分析来通知机器学习模型，以检测未来或未知的威胁。它还分析用户行为和本地网络，或者特定于客户环境的属性，从而获得对法线的基线理解，并设置用于识别异常行为的参数。

CoreLight

Core的1U机架式网络安全设备旨在根据各种因素生成全面且可操作的日志。Core的平台可用于跟踪DNS查询和响应，以及可能存在问题的环境因素，如软件过时或易受攻击、环境中的键盘设置异常、自签名、过期或即将过期的SSL证书，并检测网络中哪些系统访问了发现为恶意的文件。

数据面板

DataVisor的产品更针对交易安全而非网络安全，产品针对内容审核与过滤、交易欺诈(包括推广滥用和忠诚度计划欺诈)、开户与监控、洗钱检测与防范。

该公司自诩有能力提供详细信息，说明为什么模式被标记为异常，并引用了竞争对手的人工智能/人工智能模型被视为“黑盒”的趋势。

周长x

像DataVisor一样，PerimeterX旨在检测自动化平台的滥用，本质上是一个机器人。你可以使用JavaScript在现有的网站上添加周界x平台，并使用“浏览器中的数百个指示器，如功能、传感器数据和视听渲染”将其与已知的配置文件进行比较，以检测请求何时不是普通用户的典型请求。同样，它还收集用户行为模式，如鼠标点击、屏幕触摸、节奏和时间。

企业网络安全的前景(和落后)

尽管AI/ML承诺改善网络安全，但它不能取代在特定组织中建立基本安全和健康所需的传统基础。“人们在部署时需要担心的是如何使用或访问控制系统.这是所有其他设备的网关。如果有人在[工业控制系统]查看他们的电子邮件，那么你会玩得很开心。”泽罗尼斯说。“对于深度社会工程，真的没有技术方案。”

451 Research的高级信息安全分析师Eric Ogren认为，展望未来，SIEM可能会整合用户数据。“谁是进入【设备】的第一步？他们在正常时间使用普通协议进行访问吗？他们有许可吗？他们被授权了吗？我开始看到许多相同的供应商集成了身份信息和访问控制。”