云安全：云服务提供商新的市场机会来了

人工智能驱动的公共云技术的发展，正在改变企业“默认保护”的规则。

我最近向一位行业分析师介绍了人工智能（AI）在解决公共云安全方面的发展历程，包括从入侵防御系统（IPS）的开始到商业化。因为人工智能可以主动出击和防止威胁，所以在保护模式开启的状态下，即便客户不懂操作技术，也能保障公共云的安全。

即便在今天，80％的网络IPS也只是在检测模式下运行，虽然表现很好，但60%的IPS部署在企业环境中仅起到检测和警报的作用。

在我们的谈话中，我们共同讨论了一个话题：客户是否真正的让IPS起到应有的保护作用？更具体地说，为什么客户现在要可以启用IPS的保护机制？这次讨论让我一直在寻找一种准确的方式来表达IPS没有在云系统中被正确启用。

无论是否部署了下一代防火墙，IPS都应以独立方式运行——这有点像防火墙——独立分析本地流量或数据流，识别特定事件或攻击技术，发出警报，以及（如果在预防模式下操作）阻止或终止该数据流。企业安全团队通常不愿启用IP阻塞，原因有三:

1. 预防决策：

IPS设备可以实时监测网络异常流量，但它依赖于网络内的精确时间和部署方式，因此，如果不定期的对监测到的异常流量进行IPS策略调整，则会导致频繁的误报。

2. 预防执行：

针对正在监测的流量和数据，在本地执行预防措施。虽然企业内部选择了IPS的最佳部署方式，但这并不是防止威胁的最佳部署方式。

3. 预防方法：

IPS的可用性非常粗糙，从防火墙级别的流量阻塞到执行TCP重置以进行会话终止，需要粗粒度的响应参数（例如，IP地址，端口号，协议）。

在企业安全和威胁可见性方面，在公有云上使用人工智能非常简单，于是，安全防护规则发生了改变。

客户的核心需求是要求对计算、存储、流量、计费方式同时具有动态平衡工作负载和按需弹性扩展的透明功能，这与传统企业网络架构不同，极大的提高了环境可见性和控制水平。

虽然大多数公有云服务商内置的安全产品与其企业网络同类产品具有相同的术语，但它们几乎没有相似之处，因为它们专门针对云服务所构建，并受益于独特的环境可见性，共享日志记录和警报管理，跨产品分析，内置自动化和编排API，以及越来越先进的AI功能。

所以为什么安全团队应该在云中启用和允许IPS的“保护”功能，以下几点内容可以解答这个问题：

● 自动“保护”决策应用于云环境中最有效和最自然的位置，而不仅仅是主要检测可能发生的位置。这样可以在流量阻塞时提高精准度。

● 解决方案不必是严格的全有或全无控制，而是分布在多个安全产品和云应用程序中。这极大地减少了可能的负面业务影响和不良的用户体验，例如，在处理由共享和可信远程设备启动触发的可疑用户事件时，将条件访问控制和网络流量限制相结合是一个比较好的解决方案。

● 跨产品的可见性和威胁检测相结合，允许智能系统识别新的威胁，确定防御决策和如何减轻威胁。

● 随着传统签名和基于统计的方法被高精度监督学习模型和行为异常能力所取代，威胁检测精度，异常识别和标记以及整体检测水平都有所提高。

云安全产品的技术能力提升了企业云的保护，但我认为还有两个更重要的因素：

首先，攻击的数量，复杂性和速度的增加迫使组织采取更快、更自动化的防御方式对威胁做出反应，之后便于组织更容易启用预先保护模式并排除业务异常。

其次，可能也是最重要的一点是，大多数上公有云的企业都没有内部的信息安全专业专家。简而言之，对他们来说，安全警报是不可操作的，也会分散他们的注意力。他们要求有一个安全的平台来运行他们的业务，并期望云提供商能完全保护他们。

这就为云服务提供商带来了新的市场机会！

https://www.darkreading.com/endpoint/cloud-security-lessons-learned-from-intrusion-prevention-systems/a/d-id/1332300