AI 时代的关键基础设施保护：从数据开始

关键国家基础设施 (CNI) 是指对社会运转至关重要的系统和资产。出于管理和效率考虑，许多关键机构和职能集中在公共部门，并以信任、治理和韧性为运行基础。

关键基础设施系统支撑着现代社会的运转。各国政府将关键基础设施定义为：一旦中断，便会对国家安全、经济稳定、公共健康或公共安全造成严重后果的系统。

其中包括：

• 能源电网：为家庭和医院供电。

• 交通网络：支撑商业活动和人员流动。

• 金融系统：支持经济活动。

• 电信系统：让应急服务、企业和公众保持互联。

• 医疗基础设施：守护公共健康。

这些行业都运行着复杂系统，并产生关键数据。它们有一个共同需求：无论数据结构化与否，都需要统一的可见性和保护，以保障敏感信息安全。如果这些系统无法以最佳状态运行，运营就会陷入停滞，企业将面临收入损失，居民也会失去所依赖的服务。

关键基础设施中断带来的不仅是财务损失，还可能威胁运营连续性、企业声誉、公民敏感数据，甚至公共安全。过去几年，全球各地的关键基础设施事件已经充分证明了安全漏洞的破坏性影响。核心问题往往指向同一处：数据遭到破坏或泄露。

保护关键基础设施是各地区政府和私营部门组织的共同优先事项。随着快节奏的 AI 驱动网络威胁不断兴起，关键基础设施必须保护自身数据和服务，因此需要具备运营可见性，以及能够随现代威胁环境不断演进的韧性网络安全能力。

关键基础设施投资往往被视为一种保险：在真正发生问题之前，其价值似乎停留在理论层面。然而，尽管安全措施可能成本高昂，但其价值绝不容低估。关键国家基础设施 (CNI) 有着独特的投资逻辑：既要追求成本效率，又必须权衡多方面因素，包括潜在安全漏洞造成的损失，以及技术、培训和人员方面的持续投入。

归根结底，随着组织持续推进数字化转型，安全不能成为事后补救；它必须融入运营的每一个新层级之中。与此同时，公共部门和关键基础设施组织面临越来越大的压力，需要在预算有限的情况下完成更多任务。这就要求它们通过整合、可扩展且经济高效的数据存储，以及数据驱动的安全运营来提升效率，在降低复杂性的同时改善安全成果。

在一些公共部门组织中，建立和维护内部安全运营中心 (SOC) 往往会面临财务限制，部分原因在于这需要聘用专业人员。这也为专门面向政府用例量身定制的 SOC 即服务 (SOCaaS) 带来了独特机遇。

要充分利用 AI 赋能的安全能力，坚实的数据管理基础至关重要。数据网格方法可在保持共享治理和安全标准的同时，实现数据所有权去中心化。组织无需依赖单一集中式数据平台，而是可以将数据划分为特定领域的“数据产品”，由最接近数据生成系统的团队负责其归属和管理。对于关键基础设施运营商而言，这既能提升安全性，也能提高运营效率。数据网格方法还能推动工具整合，从而显著减少技术栈无序扩张、漏洞暴露面以及维护多种安全工具的成本。

以韧性为核心设计系统，也有助于基础设施运营商适应不断变化的监管要求和新兴威胁，同时避免关键服务中断。

零信任架构消除了隐式信任。每个用户、设备和应用在访问系统或数据之前，都必须持续验证身份和授权。权限通常会限制在完成任务所需的最低范围内。关键在于，访问权限仅根据严格策略授予，以确保系统在不断变化的威胁环境中始终保持安全并及时更新。

对于关键基础设施运营商而言，零信任具备多项优势：

• 增强可见性：通过统一所有零信任支柱的数据并应用持续监控，组织可以全面了解用户、设备、IT、OT 和 IoT 环境，从而更快发现并调查异常行为。

• 缩小攻击面：严格的身份和访问控制可以限制未经授权的入口点。

• 减轻损害：微分段可将入侵范围限制在更小区域内，从而在攻击发生时尽可能降低损害，并减少恢复成本。

通过验证每一次交互，而不是默认信任内部网络，零信任有助于保护复杂基础设施系统免受外部攻击者和内部威胁侵扰。统一的数据方法（例如数据网格）可以跨安全支柱连接数据，并实现对整个环境的全局可见性，从而增强这一安全框架。

即使是最先进的防御措施，也无法阻止所有威胁。攻击者可能绕过自动化检测工具、利用未知漏洞，或隐藏在合法系统活动中。这正是威胁狩猎发挥关键作用之处。

威胁狩猎是一种主动策略，分析师会主动搜寻可能绕过传统安全防御的网络威胁。其重点在于预判、识别并消除威胁，防止其造成实际损害。通过持续搜寻入侵迹象，关键基础设施组织可以更早发现复杂威胁，并降低大规模中断的可能性。

但随着基础设施环境日益复杂，仅靠人工监控和运营操作已经无法跟上现代威胁的步伐。安全团队面对海量警报、日志和遥测数据，由此产生了一个核心数据问题：碎片化信息限制了可见性和关联分析能力，拖慢了响应速度，并加剧了分析师疲劳。

自动化和机器学习是提升检测与响应能力的关键工具。AI 驱动的分析可以实时处理海量数据集，识别人类分析师可能遗漏的模式和异常。

安全自动化还可以简化事件响应流程。隔离受感染设备、阻断可疑网络流量或撤销凭据等自动化操作，可在数秒内遏制威胁，防止攻击在基础设施系统中蔓延。这让安全团队能够专注于更高价值的任务，例如调查复杂事件、改进防御并强化韧性策略。

在现代安全运营中，这一能力正在进一步演进为智能体模式。在这一模式下，自主智能体负责处理从数据摄取到响应的完整生命周期，而分析师则专注于判断、验证和批准。这确保检测能够基于可信的运营数据，而不是孤立警报，实现更快速、更具上下文感知能力的判断。

借助 Elastic Security，负责保护关键基础设施的组织可以全面升级安全能力。Elastic 的智能体安全运营平台可以处理从数据摄取到响应的完整生命周期，而分析师负责判断、验证和批准。关键基础设施组织可以摆脱那些带来风险且耗时的手动安全流程，转而采用 AI 赋能的运营模式，以跟上快速变化的 AI 驱动威胁。

作为该平台的一部分，Elastic 提供 AI 驱动的安全工具，以提升关键基础设施韧性，例如：

• 上下文工程：对 AI 推理所依据的信号进行结构化和丰富处理，确保每一项自动化决策都基于其所保护环境的实际运营状况。

• Agent Builder 和和智能体技能：提供设计界面和模块化能力库，用于构建专门用途的自主工作流，并随威胁环境变化不断演进。

• Elastic Workflows：一种原生自动化引擎，可端到端编排检测、调查和响应等安全运营流程，消除关键服务事件中拖慢响应速度的手动交接。

• Elastic AI Agent：一种自主安全操作员，可代表 SOC 执行多步骤调查和响应操作，即使在分析师短缺或持续遭受攻击的情况下，也能持续提供防护覆盖。

• AI 驱动的攻击发现：自动关联跨实体、行为和攻击路径的警报，告诉分析师应优先查看哪里，并将有限注意力集中于最重要的威胁。

• Elastic AI Assistant：一款交互式分析师助手，可利用实时 SOC 上下文回答调查问题并建议补救步骤，支持“人在环上”决策模式，帮助保护关键基础设施。

此外，Elastic 支持与模型无关的大语言模型 (LLM)，并支持任何部署方式，包括气隙隔离环境中的本地部署。组织可以跨区域、云或基础设施灵活部署，以满足主权和数据驻留要求，同时避免供应商锁定。

借助 Elastic，无论数据位于何处、采用何种格式，都可以对所有数据类型进行持续监控，从而更早发现异常并更快响应。我们的 AI 能力面向专业团队以外的人员设计，从而降低复杂性和培训时间，并提升整个组织的易用性。

AI 时代关键基础设施带来的启示已经非常明确：在以信任为基础的系统中，基础设施必须持续、安全地运行。今天为中断做好准备，同时投资面向未来的韧性系统，是确保人们所依赖的关键服务即便在日益不确定的数字环境中依然可靠的唯一途径。这需要以统一方式洞察所有数据，并将 AI 能力全面贯穿其中，从而支持更快、更明智的决策。

了解 Elastic 如何帮助您保护关键基础设施系统。