您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
大語言模型提升安全運(yùn)營的十種方法
為什么說大語言模型是網(wǎng)絡(luò)安全運(yùn)營的一次革命?安全大語言模型到底能不能打?怎么打?
網(wǎng)絡(luò)安全是人工智能最大的細(xì)分市場,而安全運(yùn)營則是生成式人工智能最熱門的應(yīng)用領(lǐng)域之一。以ChatGPT為代表的,基于大語言模型的生成式人工智能技術(shù)可極大提高威脅分析師、威脅獵人和安全運(yùn)營中心(SOC)員工的學(xué)習(xí)和工作效率,這也是網(wǎng)絡(luò)安全廠商爭先恐后“跳坑”網(wǎng)絡(luò)安全大語言模型工具的主要動力。
為了滿足企業(yè)風(fēng)險(xiǎn)管理和信息保密方面的需求,網(wǎng)絡(luò)安全巨頭們紛紛發(fā)布了針對企業(yè)網(wǎng)絡(luò)安全管理的“安全大語言模型”,例如谷歌(Google Cloud Security AI Workbench)、微軟(Microsoft Security Copilot)、Mostly AI、Recorded Future、SecurityScorecard、SentinelOne、Veracode、ZeroFox和Zscaler等。
以ChatGPT為代表的AI大語言模型可通過以下10種方式幫助安全運(yùn)營團(tuán)隊(duì)加強(qiáng)網(wǎng)絡(luò)防御,抵御包括勒索軟件在內(nèi)的攻擊(2022年勒索軟件攻擊暴增了40%)。
1.檢測工程
檢測工程以實(shí)時安全威脅檢測和響應(yīng)為基礎(chǔ)。運(yùn)行試點(diǎn)項(xiàng)目的CISO們表示,安全運(yùn)營團(tuán)隊(duì)可以檢測、響應(yīng)并讓大語言模型從真實(shí)的警報(bào)和誤報(bào)數(shù)據(jù)中學(xué)習(xí)。事實(shí)證明,ChatGPT在自動化基線檢測工程任務(wù)方面非常有效,使安全運(yùn)營團(tuán)隊(duì)能夠騰出時間來調(diào)查更復(fù)雜的警報(bào)模式。
2.大規(guī)模改善事件響應(yīng)
試點(diǎn)ChatGPT解決方案的一位CISO透露,他們的概念驗(yàn)證(PoC)結(jié)果表明,供應(yīng)商提供的測試平臺能提供事件響應(yīng)的可操作、準(zhǔn)確的指導(dǎo)。
但是在最復(fù)雜的測試場景中,ChatGPT仍然會出現(xiàn)“AI幻覺”。這意味著支持ChatGPT的大語言模型必須保持上下文引用的準(zhǔn)確性?!斑@對我們的PoC來說是一個巨大的挑戰(zhàn)。ChatGPT解決方案在基線事件響應(yīng)方面表現(xiàn)良好,但是上下文深度越深,安全運(yùn)營團(tuán)隊(duì)就越需要訓(xùn)練模型?!?/span>
ChatGPT在自動執(zhí)行重復(fù)事件響應(yīng)任務(wù)方面表現(xiàn)良好,這為以前必須手動執(zhí)行這些任務(wù)的安全運(yùn)營團(tuán)隊(duì)成員節(jié)省了大量時間。
3.大規(guī)模簡化SOC運(yùn)營,減輕分析師負(fù)擔(dān)
一家領(lǐng)先的保險(xiǎn)和金融服務(wù)公司正在ChatGPT上運(yùn)行PoC測試,以了解它是否能通過自動分析網(wǎng)絡(luò)安全事件并提出即時和長期響應(yīng)建議來幫助減輕安全運(yùn)營中心分析師的負(fù)擔(dān)。SOC分析師也在測試ChatGPT是否可以提供各種腳本的風(fēng)險(xiǎn)評估和建議。他們還了測試ChatGPT為IT、安全團(tuán)隊(duì)和企業(yè)員工提供安全策略和建議方面的有效性。此外,ChatGPT在員工培訓(xùn)方面也有巨大的應(yīng)用潛力。
4.實(shí)時可見性和漏洞管理
VentureBest采訪的幾位CISO表示,提高SOC中各種不同工具的可見性是當(dāng)務(wù)之急,但實(shí)現(xiàn)這一目標(biāo)具有挑戰(zhàn)性。ChatGPT可接受實(shí)時數(shù)據(jù)培訓(xùn)來提供實(shí)時漏洞報(bào)告,并列出企業(yè)網(wǎng)絡(luò)資產(chǎn)中所有已知和檢測到的威脅或漏洞。
經(jīng)過相應(yīng)數(shù)據(jù)訓(xùn)練后,大語言模型可提供實(shí)時漏洞報(bào)告,并按漏洞的風(fēng)險(xiǎn)級別、行動建議和嚴(yán)重性級別進(jìn)行排名。
5.提高威脅情報(bào)的準(zhǔn)確性、可用性和背景信息
事實(shí)證明,ChatGPT基于對整個企業(yè)網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)的實(shí)時分析,并結(jié)合大語言模型不斷創(chuàng)建的知識庫,可以有效地預(yù)測潛在威脅和入侵場景。一位運(yùn)行ChatGPT試點(diǎn)的CISO表示,目標(biāo)是測試系統(tǒng)是否能夠區(qū)分誤報(bào)和實(shí)際威脅。
到目前為止,該試點(diǎn)最有價(jià)值的發(fā)現(xiàn)是:大語言模型能夠分析企業(yè)內(nèi)生的大量威脅情報(bào)數(shù)據(jù),然后為SOC分析師提供情境化、實(shí)時見解。
6.優(yōu)化安全配置
網(wǎng)絡(luò)安全和威脅檢測系統(tǒng)的手動錯誤配置是造成數(shù)據(jù)泄露的主要原因之一。很多企業(yè)對ChatGPT能否分析數(shù)據(jù)泄露指標(biāo)(IoC),幫助識別和建議配置改進(jìn)感興趣。
企業(yè)希望ChatGPT能給出微調(diào)安全配置的最佳建議,以最大限度地減少誤報(bào)。
7.減少誤報(bào)
誤報(bào)率居高不下是網(wǎng)絡(luò)安全運(yùn)營的頭號難題,也是CISO、CIO熱衷于評估評估安全大語言模型的的原因之一。多項(xiàng)研究表明,SOC分析師浪費(fèi)了大量時間處理最終被證明是誤報(bào)的警報(bào)。Invicti的調(diào)查發(fā)現(xiàn),企業(yè)SOC每年平均花費(fèi)1萬小時和50萬美元來驗(yàn)證不可靠的漏洞警報(bào)。ESG的一項(xiàng)調(diào)查發(fā)現(xiàn),Web應(yīng)用程序和API安全工具每天平均生成53個警報(bào),其中45%是誤報(bào)。
一位在多個SOC進(jìn)行試點(diǎn)的CISO表示,迄今為止最重要的結(jié)果是:ChatGPT這樣的生成式AI可以大幅減少處理誤報(bào)所浪費(fèi)的時間。
8.更徹底、準(zhǔn)確、安全的代碼分析
網(wǎng)絡(luò)安全研究人員正在不斷測試大語言模型處理更復(fù)雜的安全代碼分析任務(wù)的能力。Victor Sergeev最近發(fā)表了一項(xiàng)更全面的測試:“ChatGPT成功識別了可疑的服務(wù)安裝,沒有出現(xiàn)誤報(bào)。ChatGPT準(zhǔn)確判斷出一段代碼被用來禁用Windows系統(tǒng)上的日志記錄或其他安全措施?!?/span>
Sergeev還使用Meterpreter和PowerShell Empire代理感染了目標(biāo)系統(tǒng),并模擬了一些典型的對手程序。對目標(biāo)系統(tǒng)執(zhí)行掃描后,ChatGPT成功地從137個同時運(yùn)行的良性進(jìn)程中識別出兩個惡意進(jìn)程,沒有出現(xiàn)任何誤報(bào)。
9.改進(jìn)SOC標(biāo)準(zhǔn)化和治理,改善安全態(tài)勢
CISO表示,與在技術(shù)層面提高各種安全工具的可見性同樣重要的是,大語言模型有望提高SOC流程的標(biāo)準(zhǔn)化,使其能夠適應(yīng)安全環(huán)境變化,這是一種非常關(guān)鍵的安全運(yùn)營能力。
10.自動化SIEM查詢和SOC操作腳本
安全信息和事件管理(SIEM)查詢對于分析來自不同數(shù)據(jù)源的實(shí)時事件日志數(shù)據(jù)并識別異常行為至關(guān)重要,這也是生成式AI在網(wǎng)絡(luò)安全領(lǐng)域的理想用例。
一家大型金融服務(wù)公司的SOC分析師表示,SIEM查詢占據(jù)了她工作量的30%,并正在持續(xù)增長,而基于大語言模型的自動化創(chuàng)建和更新每周將至少節(jié)省一天半的時間。
總結(jié):
網(wǎng)絡(luò)安全的大語言模型革命才剛剛開始
2023年下半年將有更多基于大語言模型的網(wǎng)絡(luò)安全平臺問世,熱點(diǎn)將是簡化SOC安全運(yùn)營,并縮小身份和端點(diǎn)的安全差距。來自網(wǎng)絡(luò)和端點(diǎn)的數(shù)據(jù)將是推動大語言模型訓(xùn)練和創(chuàng)新的主要動力。
企業(yè)安全團(tuán)隊(duì)可以通過人工智能增強(qiáng)的持續(xù)學(xué)習(xí)形成“肌肉記憶”來適應(yīng)、響應(yīng)安全事件,并在攻擊得手之前將其遏制。
文章來源:GoUpSec