大家读完觉得有帮助记得关注和点赞!!!
摘要
内部威胁对组织安全构成重大挑战,由于其微妙性和情境性,常常规避了传统的基于规则的检测系统。本文介绍了一种人工智能驱动的内部风险管理(IRM)系统,该系统集成了行为分析、动态风险评分和实时策略执行,以高精度和适应性检测和缓解内部威胁。我们引入了一种混合评分机制——从静态PRISM模型过渡到自适应的基于人工智能的模型,该模型利用在专家注释的用户活动数据上训练的自编码器神经网络。通过迭代反馈循环和持续学习,该系统将误报率降低了59%,并将真阳性检测率提高了30%,从而证明了检测精度的显著提高。此外,该平台可以高效地扩展,每天处理多达1000万个日志事件,查询延迟低于300毫秒,并支持针对策略违规的自动执行操作,从而减少人工干预。IRM系统的部署使事件响应时间缩短了47%,突出了其运营影响。未来的增强功能包括集成可解释的人工智能、联邦学习、基于图的异常检测以及与零信任原则的对齐,以进一步提高其适应性、透明度和合规性准备。这项工作建立了一个可扩展且主动的框架,用于缓解本地和混合环境中新兴的内部风险。
关键词:内部风险管理
内部威胁检测、AI驱动的风险评分、行为分析、基于权限的风险评估、异常检测、上下文感知安全
用户行为分析 (UBA)、数据泄露检测、基于策略的风险分析、自适应安全控制、基于风险的访问控制、AI驱动的威胁缓解、安全事件响应、零信任安全。
1 引言
内部威胁是指拥有合法访问权限的员工、承包商或业务合作伙伴滥用其权限,无论是故意还是无意,从而导致安全漏洞、数据泄露或运营中断。与来自组织外部恶意行为者的外部网络威胁不同,内部威胁利用合法的访问权限,因此更难检测和缓解。
随着数字化转型的加速,由于远程办公的快速扩展、云采用的增加以及敏感数据存储的激增,内部威胁变得更加关键。组织现在严重依赖于基于云的协作工具、远程工作环境和分布式身份系统,从而扩大了攻击面。内部人员可以使用授权凭证泄露敏感数据、操纵记录或中断运营,通常绕过传统的安全控制。根据各种网络安全研究,内部威胁是造成大部分数据泄露的原因[1],,导致财务损失、声誉损害和监管处罚。
内部威胁对网络安全构成重大挑战,主要分为三类:恶意、疏忽和意外。恶意内部人员故意滥用其访问权限来损害组织、窃取敏感数据或破坏系统,例如员工泄露机密文件以获取经济利益,或心怀不满的员工删除关键信息。疏忽的内部人员因粗心大意而使组织面临风险,例如错误配置访问权限、使用弱密码或无视安全协议。意外的内部威胁源于无意的错误,包括将敏感文件发送给错误的收件人、意外删除数据或成为网络钓鱼攻击的受害者。
由于难以区分合法用户活动与细微的恶意行为,检测和缓解这些威胁非常复杂[NT0]。传统的基于规则的系统难以应对动态访问模式[3],通常导致高误报或未检测到的风险。一种更有效的方法是采用人工智能驱动的风险评估,持续分析用户行为、访问模式以及与正常行为的偏差[NT2]。一种更有效的方法是内部人员可以通过加密通道、云存储或个人设备泄露数据,因此实时可见性和取证跟踪至关重要。然而,平衡安全和隐私仍然至关重要,因为过度监控会引起法律和伦理问题[NT3][4],而监督不足则会造成安全盲点[NT4]。然而,我们支持人工智能的内部风险管理(IRM)系统集成了PRISM——基于权限的风险与内部评分机制、人工智能支持的风险评分、基于行为的异常检测[2]、基于策略的风险分析与响应自动化以及上下文感知的警报,以解决这些差距。该系统提供实时的行为分析、动态风险评分和自动缓解[9],使组织能够避免内部威胁。其多平台连接性确保与身份提供商(IDP)如Azure AD[5]、AWS IAM[6]和Google Workspace[7]以及企业应用程序(如SharePoint、OneDrive、Microsoft Teams、Box、Slack、Salesforce、Google Workspace等)的无缝集成。
人工智能驱动的风险评分模型和PRISM持续评估用户在各个类别的活动,包括:
用户风险 – 检测登录异常、凭据滥用和未经授权的访问尝试.
数据移动风险 – 识别隐蔽的文件传输、可疑的下载和不当的文档共享.
攻击路径风险 – 使用知识图谱绘制基础设施中的漏洞。
活动风险 – 监控异常登录、设备访问以及基于位置的异常情况。
数据风险 – 追踪敏感数据的访问、删除和存储策略
数据协作风险 – 阻止未经授权的敏感文档共享。
该系统利用大型语言模型(LLMs)[8],动态分析风险评分和用户行为。它增强了上下文理解能力,以生成人工智能驱动的可执行建议,从而分析问题并为安全专家提出适当的行动建议。
此外,安全团队可以访问交互式仪表板,这些仪表板提供实时的风险评分、行为异常和系统活动洞察,从而实现主动的威胁缓解[9]。随着内部威胁的演变[NT1],传统的安全措施无法为有效检测和响应提供实时情报[10]。组织必须从被动的安全策略过渡到人工智能驱动的主动风险管理[NT3]。作为组织必须从……过渡到……
2 背景与相关工作
通过利用行为分析[2]、Prism、基于人工智能的风险评估和上下文感知的推荐,企业可以加强威胁检测,确保合规性,最大限度地减少误报,并加强其网络安全态势。在这个不断演变的威胁环境中[NT1],人工智能驱动的风险评估使组织能够领先于潜在的安全风险,从而保护其最有价值的资产[NT2]。在这个内部风险管理传统上依赖于基于规则的安全模型、人工审计和行为监控工具[10]。传统方法侧重于访问控制、用户活动日志和预定义的安全策略,以检测未经授权的行为。安全信息和事件管理(SIEM)系统、用户和实体行为分析(UEBA)以及数据丢失防护(DLP)工具已在企业中广泛使用,以监控可疑活动[9]。然而,这些解决方案通常会产生大量的警报,其中许多是误报,这使得安全团队难以确定真正的threats[2]的优先级。
传统的内部人员风险管理方法主要依赖于静态规则和基于签名的检测,这无法适应不断演变的内部威胁。这些方法无法检测到微妙的、依赖于上下文的行为,例如渐进式数据渗漏、权限滥用或缓慢的内部人员侦察[11]。
另一方面,人工智能驱动的内部风险管理利用机器学习(ML)、自然语言处理(NLP)和行为分析来实时分析大量的用户活动数据[8]。通过不断学习用户行为模式,人工智能驱动的模型可以检测异常活动,评估上下文风险,并生成自适应风险评分[12]。
表1:传统方法与人工智能驱动方法的比较
尽管基于人工智能的安全工具取得了进步,但现有的内部风险管理解决方案仍然存在几个关键差距:
1. 缺乏实时风险评分—许多现有解决方案依赖于周期性日志分析,而非实时监控,这导致检测和response[9]的延迟。
2. 不完整的数据沿袭追踪—大多数传统系统难以追踪敏感数据的整个生命周期,从创建和修改到共享和删除,尤其是在混合云和多云环境中[2]。
3. 高误报率 – 内部风险检测中的一个重大挑战是区分合法活动和真实威胁,因为静态的基于规则的系统会产生过多的误报alarms[11]。
4. 与现代工作流程的集成有限 – 许多安全工具无法与协作平台、云服务和混合基础设施无缝集成,导致内部风险monitoring[12]中存在盲点。
这些局限性突显了对人工智能驱动的风险管理系统的需求,该系统应包含实时异常检测、自动化风险评分以及跨各种platforms[8]的数据沿袭跟踪。
3 材料与方法
3.1 数据集
CERT内部威胁数据集是一个被广泛认可的基准数据集,旨在研究组织内部的威胁。它由卡内基梅隆大学软件工程研究所(CMU-SEI)开发,通过生成合成但真实的用户活动日志来模拟真实世界的企业环境[13, 14]。该数据集包括多个日志来源,例如身份验证记录、文件访问、电子邮件通信和心理测量评估,为内部威胁检测研究提供了全面的基础[15]。它的主要优势在于能够捕获良性和恶意的内部人员活动,从而可以开发和评估先进的安全分析和人工智能驱动的风险评分模型[16]。
为了开发一个由人工智能驱动的内部风险评分模型,我们使用了CERT数据集,其中包含了多个日志源,例如用户活动(users.csv)、身份验证记录(logon.csv)、文件访问事件(file.csv)和设备交互(device.csv)[14]。鉴于这些日志的结构化性质,我们首先对数据集进行预处理,过滤掉不相关的列,仅保留与我们的内部风险框架相关的参数。为了确保高质量的标注,我们利用安全专业人员的领域专业知识来分析用户行为,分配适当的风险评分,并验证威胁分类[内部方法——除非使用外部标准,否则可能不需要引用]。
这些带注释的数据集随后通过我们的PRISM——基于权限的风险与内部人员评分机制进行处理,该机制基于预定义的安全性指标和行为模式评估内部人员风险。此PRISM的性能作为与我们的人工智能驱动的风险评分方法进行比较的基准,我们将在接下来的会议中讨论该方法。
此外,该数据集还经过了进一步的预处理步骤,包括归一化、时间戳对齐和事件关联,以使其与从我们的企业安全管道收集的真实世界数据非常相似[自定义流程——不可公开引用]。这个丰富的数据集为训练我们最初的基于人工智能的风险评分模型奠定了基础。最后,我们将来自生产环境的实时数据流与CERT数据集集成,以增强模型的泛化能力,确保我们的系统能够动态适应新兴的内部威胁模式[实践工程——内部声明]。
3.2 系统架构
所提出的支持人工智能的内部风险管理系统旨在高效地处理和分析各种安全日志,从而能够检测和缓解内部威胁。它集成了多个数据源,利用PRISM和人工智能驱动的风险评分,进行异常检测,并执行基于策略的风险评估,以生成可操作的安全洞察,如图1所示。
图1:所提出的AI赋能的内部风险管理框架的系统架构。
3.2.1 数据来源与收集
该系统持续从组织IT基础设施的多个来源摄取日志和活动数据,以提供全面且实时的安全评估。这些多样化的数据点能够实现详细的风险分析、内部威胁检测和合规性监控。
1. 设备日志
捕获系统级活动,包括执行的进程、访问的应用程序和系统交互。
它有助于识别未经授权的设备使用、异常位置和其他基于操作系统的可疑活动。
2. 用户活动日志
追踪用户在企业应用、协作平台和云服务中的操作。
日志捕获文件修改、数据传输、诸如Teams等应用中的消息活动以及管理变更。
提供对政策违规、异常行为和内部风险的深入见解。
3. 登录日志
监控所有身份验证事件,包括成功和失败的登录尝试。
检测暴力破解攻击、未授权访问尝试以及登录异常,例如基于位置的不一致性。
4. 文件访问日志
记录用户与文件的交互,包括读取、写入、删除和共享操作。
识别敏感数据移动、潜在的渗透尝试以及对关键文件的未授权访问。
该系统的核心能力之一是其分析实时文件敏感度的能力。利用先进的上下文感知混合模式检测算法(CHPDA)根据文件的内容和合规风险因素[17]对文件进行分类。这种人工智能支持的检测机制识别并分类包含个人身份信息(PII)、受保护的健康信息(PHI)、支付财务信息(PFI)和其他合规监管数据(例如,GDPR、HIPAA、PCI-DSS)的文件。
1. 敏感文件分类:
(a)基于文本的分析——扫描文件内容以检测敏感信息。
(b)元数据与上下文分析——检查文件名、位置和历史访问模式。
(c)基于行为的分类——识别可疑的数据共享、大量文件删除和未经授权的传输。
2. 自动化合规映射:
(a)确保所有文件符合企业安全策略和行业法规。
(b)标记违反数据处理策略或存在未经授权泄露风险的文件。
通过与各种企业应用程序、云服务和本地环境集成的无缝连接器收集日志和活动数据:
1. 身份提供商与身份验证系统 Azure AD、AWS IAM、Google Cloud Identity – 跟踪用户身份和访问活动。
2. 企业协作与云存储平台 SharePoint、OneDrive、Google Drive、Microsoft Teams、Box – 监控文件共享、访问控制和数据移动。
3. 本地部署与混合 IT 基础设施 Windows 文件共享、本地 IAM 系统、混合云设置——从传统企业环境中捕获数据。
所有收集的日志都安全地存储在本地加密数据库中。然后,数据经过预处理,包括规范化和标准化,以确保不同日志源之间的一致性,以及时间戳同步,以对齐来自多个系统的日志,从而实现准确的事件关联。这种结构化数据集是实时风险评分、异常检测和自动化安全响应机制的支柱。
通过自适应评分和基于LLM的威胁检测来转变内部风险管理
3.2.2 PRISM – 基于权限的风险与内部人员评分机制
一旦从各种来源收集到数据,系统将应用一个基于权限的风险与内部人员评分机制(PRISM),该机制会根据预定义的规则和安全启发式方法分配一个风险评分R [18, 19, 15]。该算法通过考虑多个参数来评估用户活动,每个参数对最终风险评分都有一定的权重。总风险评分的计算方式如下:
R=(Wp·Sp)+(WA·SA)+(WC·SC)+(WIP·SIP)+(WB·SB)+(WD·SD)+(WCA·SCA) (1)
其中:
• SP =用户权限分数
• SA =活动类型得分
• SC =应用上下文得分
• SIP =IP地址评分
• SB = 营业时间得分
• SD =设备合规性得分
• SCA =累积活动评分
• Wx represents the权重
风险评分矩阵
示例计算场景:
一名低权限员工从未知 IP 地址登录,访问 SharePoint,移动五个文件,并在非工作时间从不合规设备执行这些操作。
为简单起见,我们假设基础风险评分R0 = 0,并且所有权重均等地设置为W = 1。
表2:基于不同风险因素的风险评分影响
步骤 1:计算风险贡献
为了开始风险评分过程,我们基于用户的行为和上下文分析各个贡献因素,如表2所示。该用户具有低权限角色,这不会直接增加基础分数,但会引入1.1的风险乘数,该乘数在最后一步应用。该用户移动了五个文件,每次移动贡献4分,活动类型总计20分。该活动发生在SharePoint上,在这种情况下不会带来额外的风险。从未知IP地址登录增加+5分,在工作时间之外执行操作贡献另外+5分,以及使用不合规设备增加另外+5分。
这些单独的组件共同构成了一个35的基础风险评分,该评分随后会通过权限乘数进行调整,以得出最终评分,如表2所示。
步骤 2:计算总分
应用低权限倍数:
步骤 3:标准化风险评分(0-1 范围)
为了将风险评分标准化到0-1的范围内,我们应用Min-Max归一化:
假设最小风险评分为0,最大可能风险评分为100,则归一化风险评分如下:
解释:本次会话的最终标准化风险评分为0.385,根据以下阈值,该活动被归类为中等风险:
• 0.0 - 0.3 →低风险
• 0.3 - 0.6 →中等风险
• 0.6 - 1.0 →高风险
由于安全警报的风险阈值通常为0.3,此操作将触发调查。安全团队现在将评估这是否为合法活动或是内部威胁。
此方法确保了一个结构化且可解释的风险评估模型,在静态启发式方法与情境分析之间取得平衡,从而动态地检测潜在的内部威胁。
3.2.3 AIRS - AI风险评分算法:基于AI的风险评分框架
该系统采用基于自编码器神经网络的AI驱动风险评分模型,以提高内部威胁检测的准确性。这种方法通过从历史数据中学习并适应不断演变的威胁,改进了传统的风险评估方法[20]。
该人工智能模型按以下阶段运行:
1. 初始训练阶段
• 该人工智能模型最初使用来自PRISM框架的数据进行训练。
• 该数据作为带标签的输入,使模型能够理解预定义的风险模式和行为。
• 自编码器通过识别过去用户行为中的模式,学习正常和风险活动的基线表示。
• 该系统计算重建误差以衡量与常规行为的偏差[20]。
2. 用户反馈环
• 经过训练后,人工智能会根据新活动与既定模式的偏差程度,为其分配风险评分:
较高的重构误差对应于较高的风险评分,为保持一致性,评分被缩放到 0 到 1 之间。
• 安全分析师会审查分配的风险评分,以确定其是否符合安全预期。
• 分析师可以提供反馈,以改进人工智能模型的评估[21]。
3. 通过用户输入调整风险评分
该系统允许通过基于滑块的界面进行手动风险评分调整,以确保灵活性:
– Suser= 分析师调整后的分数
– α = 控制用户反馈影响的因子
• 这种反馈机制可以微调AI模型对风险因素的解读。
4. 增量模型重学习
• 系统维护一个用于重新训练的阈值;一旦收集到设定数量的反馈实例,AI模型就会进行增量重新训练。
• 在此过程中,用户反馈优先于初始训练权重,确保模型适应组织独特的风险模式和安全策略[21]。
5. 个性化风险分析与持续学习
• 随着时间的推移,AI模型会从过去的用户输入中学习,从而提高其区分正常活动和高风险活动的能力。
• 这种持续学习减少了误报,并提高了实时风险评估的准确性。
• 该模型不断演进,以使风险评估与安全运营相协调,而不是依赖于僵化的预定义规则。
为何此方法至关重要?将人机协同学习融入基于人工智能的风险评分模型,可确保动态、适应性强且高度准确的安全框架。与静态的基于规则的系统不同,此方法从安全分析师处学习,适应真实世界的威胁,并不断改进以提供更精确的风险评估,如图2所示
图2:与基于人工智能的风险评分相结合的人工参与学习架构。
该系统对各种云存储和协作平台(如SharePoint、OneDrive、Google Drive、Teams和Box)强制执行预定义的安全性策略。这些策略充当第一道防线,可以实时识别和缓解风险。当检测到安全违规时,会生成警报,确保未经授权或有风险的操作不会被忽视。这些策略根据风险维度进行分类,
3.2.4从而全面覆盖用户、数据、活动和攻击路径
1. 用户风险策略 这些策略检测异常的用户行为,包括未经授权的访问尝试、登录异常和潜在的凭据滥用。参见表3
表 3:基于策略的检测触发器和相关风险
2. 数据移动风险策略
这些策略监控跨云平台的未经授权的数据传输,以防止数据泄露和信息泄漏,如表4中所述。
表4:政策触发因素及相关风险
3. 攻击路径风险策略
Table5中的策略利用知识图来映射组织基础设施中潜在的攻击路径,从而在漏洞被利用之前识别出薄弱点。
表5:高级风险策略触发器和潜在威胁
4. 活动风险策略
这些策略通过识别可疑的登录、设备访问和基于位置的风险因素来检测用户行为中的异常。表6
表6:行为异常检测策略
5. 数据风险策略
这些策略通过强制执行访问限制、保留策略和存储安全来保护敏感数据资产。参见表7
表 7:数据安全与合规策略触发因素
6. 数据协作风险策略
这些策略侧重于通过防止未经授权的文档共享和控制跨团队及外部实体的信息流动,来确保安全的协作。见表8
表 8:数据协作风险策略
7. 基于行为的异常
这些策略并非着重于特定行为,而是通过分析与正常使用情况的偏差来检测异常行为模式。示例包括:
过量文件下载:用户从 SharePoint 下载异常大量的文件,偏离了其历史访问模式。
异常登录时间:某用户在 Teams 上的登录时间为凌晨 3 点,尽管该用户从未在工作时间以外访问过该平台。
异常文件修改:脚本或机器人突然重命名并移动 Google Drive 中的数千个文件,类似于勒索软件攻击。
每个云平台都根据其架构和用例制定了专门的安全策略,如表9所述。
表 9:基于云平台行为的异常策略
3.2.5 AI驱动的安全建议
该系统集成了由DeepSeek大型语言模型(LLMs)驱动的本地AI模型,以增强安全运营。与传统的静态警报不同,该AI基于实时事件提供上下文相关的安全建议,而不会触发自动修复操作[24]。
1. 上下文感知风险分析
人工智能并非仅仅依赖于预定义的阈值,而是分析上下文因素,从而为安全团队生成可执行的洞察。它评估:
• 用户历史行为 – 用户之前是否执行过类似操作,例如大规模数据下载?
• 组织规范——这种行为对于他们的部门或角色来说是否典型?
• 环境背景 – 该活动是否源自公认、受信任的设备或网络?
通过考虑这些参数,人工智能可以生成知情的安全建议,帮助分析人员在上下文中理解风险,而不是对孤立事件做出反应[25]。
2. AI生成的安全建议
我们的系统利用本地部署的DeepSeek LLM来提供实时的安全洞察,但不采取直接的补救措施。当分配了高风险评分、违反了策略或发生了高风险活动时,人工智能会动态分析该事件并生成上下文相关的建议。
人工智能并非依赖于静态阈值,而是遵循一种链式思维推理过程来评估:
3. 为什么选择本地部署AI?
该人工智能模型完全在本地运行,以维护数据主权和隐私,确保敏感信息不会离开系统 [26]。这种闭环安全方法可防止暴露于外部云服务,同时实现实时的、上下文丰富的安全建议。
该人工智能遵循一种链式思维推理过程,分析过往活动模式、组织背景和实时安全事件,从而提供准确、可操作的见解。这使安全团队能够做出明智的决策,而不是依赖于僵化的自动化。
3.2.6 可视化分析与基于风险的仪表板
在基于策略的风险分析与响应自动化之后,系统过渡到可视化分析阶段。此阶段提取并以结构化和交互式格式呈现关键安全见解,以促进快速决策。风险评分系统为这些可视化提供支持,并驱动直观的仪表板、警报和图表。
1. 紧急标签页:本节优先处理高风险事件,并支持跨多个维度进行快速分类:
• 活动层级:识别与特定风险活动相关的安全威胁。
• 用户级别:突出显示需要立即调查的高风险用户。
• 数据层级:标记敏感数据泄露或违反策略的行为。
• 应用层级:监控特定企业应用内部的异常情况。
2. 概览标签页提供系统安全性的整体视图,总结了高级风险指标:
• 用户洞察:根据行为和情境风险评分对用户进行分类。
• 活动洞察:可视化正在进行和已完成的风险检测活动。
• 警报分布:显示按严重程度分类的警报。
• 风险因素:概述数据敏感性、跨平台漏洞和近期安全趋势。
3. 分析页面通过高级数据可视化提供实时安全洞察:
• 事件与风险活动图:绘制基于风险的活动趋势随时间变化的图表。
• 风险活动分析:检测行为异常和潜在的内部威胁。
• 数据泄露防护洞察:重点介绍数据泄露途径和敏感信息流。
4. 活动页面 能够创建、跟踪和评估风险缓解活动:
• 总体活动表现:衡量检测效力和解决时间。
• 单个活动洞察:跟踪每个活动的用户参与度和政策违规情况。
5. 用户页面提供用户特定的风险情报,涵盖个人和组织层面:
• 显示正在发生的事件和策略违规。
• 详细的用户资料、风险评分和行为历史。
• 用于用户分组和基于角色的调查的分段视图。
6. 通知页面聚合实时警报,以保持积极的安全态势:
• 使安全团队能够迅速响应并解决威胁。
整个可视化框架由风险评分系统驱动,确保持续的、数据驱动的洞察力,并增强威胁检测和响应能力。
4 评估与结果
4.1 PRISM – 基于权限的风险与内部人员评分机制
我们最初的风险评分模型使用预定义的规则和静态阈值来评估安全风险。虽然它在检测常见威胁方面有效,但它存在明显的局限性,包括高误报率和缺乏对不断变化的风险模式的适应性。如图3所示,我们基于人工智能的风险评分模型明显优于PRISM方法。误报率已从42%降低到17%,从而减少了2.5倍的错误警报。阳性检出率已从65%提高到85%,使该模型在识别真实威胁方面的效率提高了1.3倍。假阴性率也从18%下降到12%,减少了1.5倍的遗漏风险。表10提供了PRISM与基于人工智能的评分的直接比较,以及基于比率的改进:基于人工智能的评分,以及基于比率的改进:
表 10:性能比较:PRISM 评分与基于人工智能的评分
我们通过12周的用户反馈来训练我们的模型以达到这些结果,并在最初的三周内纳入了大约300个训练实例。我们的定制模型在由领域专家和管理员标注的数据集上持续进行评估,以确保高准确性和相关性。随着时间的推移,该模型不断改进,适应用户反馈和管理员偏好。
此外,人工智能模型通过额外的训练数据不断改进,从而适应特定于组织机构的风险模式。随着时间的推移,它将从管理员的偏好中学习,从而实现定制化的风险评分方法,使其与组织机构独特的安全需求相一致。
图 3:PRISM 与基于人工智能的风险评分中的假阳性率
4.2 基于人工智能的风险评分模型的准确性
通过引入由自编码器神经网络驱动的 AI 风险评分模型,风险检测能力得到显著提升。在不断学习用户反馈后,该模型进行了动态调整,实现了 17% 的误报率——不到基于规则的系统的一半。参见 figure4 和表 11。
图4:真阳性检测随时间的改进
表11:实际阳性率随时间的改善
4.3 用户反馈与模型适配
在为期60天的测试期间,安全分析师手动审查并调整了12%的AI生成的风险评分,以微调模型的准确性。这种迭代反馈过程显著提高了风险分类的准确性。
如图5和随附的table12所示,最初的AI模型的假阳性率为42%,假阴性率为18%。在第一个反馈循环(其中分析师的更正被纳入再训练)之后,假阳性率降至30%,假阴性率降至15%。在第二个反馈循环之后,该模型得到了进一步的改进,将假阳性率降低到17%,假阴性率降低到12%。
这证明了持续学习的有效性——每次迭代都会改进人工智能的决策,减少不必要的警报,同时提高对真实威胁的检测。随着更多反馈的融入,该模型能够动态地适应组织风险模式,从而确保更准确和定制化的风险评分系统。
表12:通过反馈回路改进模型
图5:用户反馈循环后误报的减少
4.4 策略违规识别
在测试期间,我们的基于策略的风险分析引擎在一个月内检测到78起严重违规事件,涵盖各种安全威胁,例如未经授权的权限提升、数据处理违规以及不合规的设备连接。
如图6和随附的table13所示,违规数量最多的是数据处理,检测到31例,其次是访问控制违规(22例)。为了应对这些风险,我们应用了自动安全措施,包括撤销权限(15例)、限制文件访问(20例)和标记可疑用户活动(10例)。
该策略执行系统持续监控安全事件并应用实时缓解措施,从而减少人工干预并提高整体合规性。
表13:策略违规与自动化操作
图 6:检测到的策略违规行为细目
4.5 性能与可扩展性
该系统在高日志摄取负载下表现出卓越的性能,每天高效处理高达1000万个日志事件,同时保持低于300毫秒的查询响应时间。如表1所示,在不同摄取速率下的性能测试表明,在每秒1,000个日志的情况下,系统在120毫秒内响应,而在每秒10,000个日志的情况下,响应时间略微增加到190毫秒。即使在每秒100,000个日志的极端负载下,系统仍保持250毫秒的响应时间,确保了实时的威胁检测和分析。
表14:系统性能:日志摄取与查询响应时间
这些结果表明该系统具有高度的可扩展性,使其适用于各种规模的组织,从中小企业到拥有大量安全日志的大型企业。低延迟的查询执行使安全分析师能够立即检索到见解,从而促进更快的威胁检测和缓解。此外,如表14所示,即使日志摄取率增加,该系统也能保持最佳性能,证明了其在重负载下的效率。该架构还支持未来的可扩展性,因为进一步的优化(如高级索引策略和并行处理)可以提高在更高负载下的性能。这确保了安全团队能够及时响应新兴威胁,从而缩短整体事件响应时间并改善网络风险管理。
4.6 内部风险管理(IRM)系统的综合影响
通过整合人工智能驱动的风险评分、策略违规检测和敏感数据分类,实施内部风险管理(IRM)系统已显著加强安全运营。最具影响力的成果之一是事件响应时间缩短了 47%,这主要得益于自动化的风险评估、实时的策略执行和人工智能辅助的决策。该系统通过自动化的策略违规检测来提高效率,即时标记未经授权的操作并最大限度地减少调查延误。此外,基于风险的优先级排序确保安全团队首先关注最关键的威胁,从而优化资源分配。整合敏感数据分类功能可实现上下文感知的警报,从而提高风险评估的准确性并减少误报。此外,简化的调查工作流程为安全团队提供预先分析的见解,从而减少关联安全事件所需的人工工作量。如表 15 所示,这些改进显著提高了事件响应效率。平均解决时间从 45 分钟(手动调查)减少到使用 IRM 辅助响应的 24 分钟。图 7 进一步可视化了这种减少,该图呈现了一个比较条形图,突出了通过人工智能驱动的自动化实现的效率提升。
通过自适应评分和基于LLM的威胁检测来转变内部风险管理
表15:事件响应效率——IRM实施前后对比
图 7:IRM 集成前后的事件响应时间
5 结论与未来工作
本研究表明,人工智能驱动的内部风险管理(IRM)系统通过利用先进的机器学习模型、行为分析和实时数据监控,在增强组织安全性方面具有显著潜力。所提出的框架通过融合多样化的数据源并执行上下文风险分析,从而提高检测准确性和响应速度,有效缩短了内部威胁的暴露窗口。主要贡献包括开发了一种人工智能驱动的风险评估模型,部署了行为基线技术,并验证了该系统在运营环境中的有效性,从而减少了误报,缩短了事件响应时间,并实现了跨本地和云基础设施的可扩展部署。展望未来,设想了以下几项增强功能:实施联邦学习以实现保护隐私的人工智能训练,集成可解释的人工智能技术以提高透明度,使IRM系统与零信任安全框架保持一致,通过基于图的分析来丰富行为异常检测,启用实时响应机制,扩展混合环境的跨平台兼容性,以及嵌入自动合规性审计以适应不断变化的法规。通过追求这些方向,IRM系统可以成为一个更强大、更具适应性和更全面的解决方案,为组织提供必要的工具,以主动缓解新兴的内部威胁并保护关键资产。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
