澳大利亚邮政正与一家名为Alpha Level的初创公司合作,共同开发并在生产环境中测试两款机器学习模型,以帮助其在安全运营中心(SOC)介入时对网络安全事件进行优先级排序。
这家政府企业(GBE)在上月末宣布了与Alpha Level的合作伙伴关系,旨在“提升威胁识别的速度和准确性”。
虽然Alpha Level已有一款商业产品——警报管理系统——但澳大利亚邮政并未使用该系统,而是共同开发全新的模型,未来可能商业化。
首席信息安全官Adam Cartwright说“我们并不是从Alpha Level购买产品——这实际上是一次合作。”
“这可能是一个被误用的术语,但我们与Alpha Level的合作是针对大多数网络安全领域(与澳大利亚邮政无关)面临的共同问题,尝试开发新的方法来发现并解决这些问题。”
Cartwright表示,最初的工作聚焦于两款机器学习(ML)模型,均针对“涌入SOC的海量警报和事件”这一现象。
其目标是在安全信息与事件管理(SIEM)流程中有效地对事件队列进行优先级排序,使分析员的注意力集中在需要调查的事项上。
每周在SIEM中记录的数十亿事件——从网络流量到安全日志——中,成千上万会触发规则并被标记为潜在恶意。
其中大多数要么是误报,要么是良性正例。SOC直接调查的比例(iTnews未透露具体数字)会产生少量“真正的正例”,需要实际干预。
与Alpha Level合作开发的其中一款模型旨在更快地过滤掉误报和良性正例。
Cartwright说“如果你能以某种方式减少这个数量,就提升了团队的效率。他们可以专注于重要的事情。”
该领域的一个挑战是,更复杂威胁相关的信号可能很微弱,或看起来像合法流量。
Cartwright指出,机器学习可以在大量正常系统使用和流量中检测到这些微弱信号,并正确标记以引起注意。
另一款模型的目标是降低SIEM中的噪音,识别“真正的正例”威胁,并将其置于分析员的行动列表首位。
Cartwright说“我希望我的SOC能立即关注这些事项。我不想让他们在大量信号中筛选出最高优先级的信号,因为响应时间至关重要。响应越快,对环境造成的损害就越小。”
这两款机器学习模型已合作开发约五个月,当前直接在澳大利亚邮政的SIEM中标记事件。
被模型分类为误报或良性正例的事件并未被剔除。
Cartwright说“我们决定不让任何警报消失。我们仍然认为它们需要调查,直到我们对产品更有信心为止。”
“AI很可能不会决定我们不需要查看某个警报。更可能的情况是,AI向人工推荐该警报为低优先级。”
知识交流
Cartwright说,澳大利亚邮政与Alpha Level的合作是“多米诺骨牌效应”促成的。
“很多年前,我在银行工作时,曾与Alpha Level创始人Joshua Neil博士合作。我在美国洛斯阿拉莫斯国家实验室代表一家银行考察AI和ML在网络安全中的应用,他拥有统计数学博士学位。他的大脑像行星一样巨大,洛斯阿拉莫斯的大多数人也是如此。那是一个相当迷人的地方。”
“我们讨论了他在该设施解决的一些问题,这显然吸引了各种关注,以及他们如何开发模型来检测异常并作出响应。”
“我们随后在澳大利亚的一家银行中测试了该技术,比较了其在商业环境与高度受限环境中的表现。我们双方都学到了很多。”
几年后,Cartwright再次联系了刚创立Alpha Level的Neil,表示“有兴趣解决一些网络安全问题”。
这促成了讨论,最终形成了当前的合作伙伴关系。
合作尚未涉及金钱交易,但澳大利亚邮政以及至少一家澳大利亚和美国公司正获得对棘手网络安全数据洪流问题的解决方案。
Cartwright说“我们目前并未为此付费。”
“但对澳大利亚邮政的好处是获得了他们深厚的专业知识。像Josh这样的人在全球极为稀缺,能够直接与他对话、喂养模型并决定我们想要的产品与他认为我们想要的之间的差异,对我们非常重要。”
“他们将在此基础上推出产品。他们是一家初创公司,想要推出市场产品,届时我们会决定是否已走到足以证明投资合理的阶段。”
Cartwright说,少数澳大利亚SOC能够获得这种“思维层次”的合作。
除了交付具体模型外,Cartwright表示“技能转移”是合作的另一关键成果。
他指出,这种转移“并不会让我的分析员变成统计学家……但他们会了解建模、其陷阱与优势,因为使用机器学习和人工智能确实存在陷阱——我在过去15年的网络安全工作中学到了这一点”。
“优势巨大,但除非供应商主动上门说‘这是我的产品,带有AI,买下它’,否则很少有人会接触到这些。现在每个人都在这么做。”
“因此,这实际上也在教育我的团队,了解什么有效、什么无效,需要考虑哪些因素。”
“这种合作是金子般的价值。”
