黑帽大会上的人工智能与自动化趋势

关键要点

• 自动化和人工智能（AI）需求持续增加，以加速检测和响应。
• 大多数安全公司在AI方面的投入更多是市场营销，而非实质性创新。
• 新兴公司正通过收集专有数据来推动AI的真正应用，并与传统公司形成差距。
• 社区互动和交流将是一种获取有效信息的方法。

在本年度的黑帽大会上，会议 floor和展位讨论的一个共同主题就是需要自动化和AI来加快安全威胁的检测与响应。随着网络攻击者利用更先进的攻击手法，安全厂商逐渐转向安全编排、自动化和响应（SOAR）类别，因为他们意识到AI将在攻击者入侵系统的时间上产生加速作用，而人为因素很快会成为事件响应过程的瓶颈。

推动对这些威胁的自动化响应——例如，自动化工作流程可以快速隔离攻击者或作废被入侵的凭证——是第一步。现阶段，只有少数公司在进行真正的“AI”应用——主要是为了改善“可解释性”、决策能力或加快开发速度。大多数公司只是将他们的自动化投资重新分类为“AI”。

注意：
参会者应对来自那些成立多年的厂商的AI宣传保持警惕，因为这往往是市场营销的夸大而非真正的创新。这其中包括利用外部数据和用户论坛的反馈，通过大型语言模型技术（如自训的DaVinci
003或其他开放的AI API）来丰富产品叙述。

这种对AI的应用主要针对没有真正具备AI能力的核心产品，因此帮助非安全从业人员获得安全保障，因为厂商投资于“可解释性”。但这并没有加快检测与响应速率。

对于许多已存在多年的网络安全公司而言，应用AI做出决策的挑战在于，他们必须拥有大量的专有数据来训练AI做出决策。然而，很多传统安全公司在过去五到十年里并没有优先收集这些训练数据，他们可能没有足够的专有训练数据来改善或构建决策支持算法。

问题 | 影响
—|—
没有专有数据 | 产品缺乏差异化，无法利用AI进行有效的决策支持。

在本届黑帽大会上，最令人兴奋的AI创新来自那些致力于收集匿名专有数据并进行AI驱动产品发展的安全公司。这些公司通常较新，位于展会边缘，而不是大型展位中央，旨在构建和利用专有训练数据，创造与传统供应商之间不断扩大的护城河。

例如，我们始终认为自己是一家数据公司，通过渗透测试作为传感器来累积大量数据以进行训练。过去两年间进行的26,000次渗透测试收集了独特的匿名遥测数据，适用于每个网络环境，为训练决策算法提供了扎实基础，使解决方案变得日益有效。

除了加速检测与响应，另一个重要的AI创新领域是加速应用程序和技术集成的发展。我们开始看到大型语言模型在生成可靠代码方面变得非常优秀，尽管仍有一些工作要做。例如，GitHub的Co-
Pilot已显示出其潜力。

迅速创建产品或应用之间的集成已突然变得可行，且不再需要非常庞大的集成开发团队来加速代码开发。能够持续为市场提供功能的组织，将变成不断向客户推送创新和特性的“传送带”。

随着SaaS本地公司继续利用AI加速未来发展，他们将已经具备将新特性推送给客户的部署和分发机制。这将进一步将他们与缺乏这种开发速度的传统网络安全公司区分开来。

而目前，AI的炒作周期将为买家带来真正的挑战，直到这种差距变得明显。而那些对厂商进行肤浅分析的行业分析师对此无能为力，因为将会发生两件事。

首先，预计会出现“巨大相似性”，即所有厂商的声音几乎一样。许多网站上的营销内容已经听起来几乎相同。其次，基于参考的采购将成为推动增长和持续创新的关键驱动因素。这个过程将使渠道——对于许多公司的网络安全最后一公里的负责人