在前幾天，提到了資訊安全的基礎理念（CIA 三元組）、治理與風險控管，以及零信任架構如何強化存取安全。然而，當現代企業的系統規模愈來愈大、威脅愈來愈多，人力已經難以即時偵測與回應所有資安事件。這時，AI（人工智慧）與自動化技術 正在改變資安防禦的樣貌——從被動反應，轉變為主動偵測與智慧應對。

一、AI 與資安的結合：從防禦到主動偵測

過去的資安防禦仰賴規則式（rule-based）系統：

例如防火牆、入侵偵測系統（IDS）、防毒軟體，都是根據已知特徵（signature）來比對惡意行為。但在今日，每天都有數以萬計的新型攻擊出現，已超出人工與傳統規則的負荷。

AI 的導入，帶來三項改變：

1. 從靜態到動態學習：

   模型能持續學習網路流量、使用者行為、系統日誌等資料，自我更新規則。

2. 從反應到預測：

   不再只是「發現異常」，而能預測哪個行為可能導致風險。

3. 從孤立到整合：

   AI 不只是工具，而是 SOC（Security Operation Center）中自動決策的一環。

二、自動化入侵偵測：AI 的第一道防線

入侵偵測系統（Intrusion Detection System, IDS）過去依靠固定規則比對流量，但現代 AI 驅動的 IDS 具有「行為分析」與「異常學習」能力。

• 異常偵測（Anomaly Detection）

  透過機器學習模型AI 能學習「正常網路行為的樣貌」。一旦出現異常模式（例如流量突然暴增、資料外傳、深夜登入），系統即自動警示。

• 實例：

  例如銀行的內部網路若出現平常不會連線的主機互通，AI 模型即可偵測並判定為潛在 lateral movement（橫向滲透）行為。

這類技術的優勢是不依賴固定特徵庫，即使是從未出現過的新型攻擊，也能被偵測出「不尋常」的行為。

三、SOAR：讓事件回應自動化與智慧化

即便能偵測到異常，若人工需要逐一調查、分析、回報與處理，仍可能錯失關鍵時機。

因此，SOAR（Security Orchestration, Automation and Response） 成為現代資安的協調中心。

SOAR 的三大功能：

1. Orchestration（協調）：整合不同資安工具，如 SIEM、EDR、防火牆、郵件防護。
2. Automation（自動化）：自動執行預先定義的事件處理流程，例如隔離主機、封鎖 IP、重設密碼。
3. Response（回應）：根據威脅等級與上下文，動態調整應變策略。

實際應用範例：

假設 AI 偵測到某位員工帳號在午夜從海外登入（異常行為），SOAR 系統可自動：

• 觸發多因素驗證（MFA）
• 暫時停用該帳號
• 通知 SOC 分析師

整個過程可在幾秒內完成，大幅縮短「威脅偵測到反應」的時間差。

四、異常行為分析（UEBA）：理解「人」的風險

UEBA（User and Entity Behavior Analytics） 是近年 AI 資安的重要分支。

它的核心在於「行為基準建模」——藉由 AI 分析每個使用者、設備、帳號的平常行為，建立一個「正常輪廓（baseline）」。

一旦偵測到偏離常態的行為，例如：

• 平時不登入伺服器的員工突然進行大量下載；
• 行政帳號在非工作時段異地登入；
• 應用程式頻繁呼叫外部 API；

系統就會即時觸發警示，甚至交由 SOAR 進行後續應變。

UEBA 的價值在於：它不僅看「外部攻擊」，更能發現「內部威脅（Insider Threat）」。

AI 與自動化讓資安防禦邁向新階段，特別是在雲端、IoT、邊緣運算不斷擴張的環境中，AI 將逐漸扮演資安的「第一道智慧防線」