為什么說(shuō)大語(yǔ)言模型是網(wǎng)絡(luò)安全運(yùn)營(yíng)的一次革命?安全大語(yǔ)言模型到底能不能打？怎么打？

網(wǎng)絡(luò)安全是人工智能最大的細(xì)分市場(chǎng)，而安全運(yùn)營(yíng)則是生成式人工智能最熱門的應(yīng)用領(lǐng)域之一。以ChatGPT為代表的，基于大語(yǔ)言模型的生成式人工智能技術(shù)可極大提高威脅分析師、威脅獵人和安全運(yùn)營(yíng)中心(SOC)員工的學(xué)習(xí)和工作效率，這也是網(wǎng)絡(luò)安全廠商爭(zhēng)先恐后“跳坑”網(wǎng)絡(luò)安全大語(yǔ)言模型工具的主要?jiǎng)恿Α?/span>

為了滿足企業(yè)風(fēng)險(xiǎn)管理和信息保密方面的需求，網(wǎng)絡(luò)安全巨頭們紛紛發(fā)布了針對(duì)企業(yè)網(wǎng)絡(luò)安全管理的“安全大語(yǔ)言模型”，例如谷歌(Google Cloud Security AI Workbench)、微軟(Microsoft Security Copilot)、Mostly AI、Recorded Future、SecurityScorecard、SentinelOne、Veracode、ZeroFox和Zscaler等。

以ChatGPT為代表的AI大語(yǔ)言模型可通過(guò)以下10種方式幫助安全運(yùn)營(yíng)團(tuán)隊(duì)加強(qiáng)網(wǎng)絡(luò)防御，抵御包括勒索軟件在內(nèi)的攻擊(2022年勒索軟件攻擊暴增了40%)。

1.檢測(cè)工程

檢測(cè)工程以實(shí)時(shí)安全威脅檢測(cè)和響應(yīng)為基礎(chǔ)。運(yùn)行試點(diǎn)項(xiàng)目的CISO們表示，安全運(yùn)營(yíng)團(tuán)隊(duì)可以檢測(cè)、響應(yīng)并讓大語(yǔ)言模型從真實(shí)的警報(bào)和誤報(bào)數(shù)據(jù)中學(xué)習(xí)。事實(shí)證明，ChatGPT在自動(dòng)化基線檢測(cè)工程任務(wù)方面非常有效，使安全運(yùn)營(yíng)團(tuán)隊(duì)能夠騰出時(shí)間來(lái)調(diào)查更復(fù)雜的警報(bào)模式。

2.大規(guī)模改善事件響應(yīng)

試點(diǎn)ChatGPT解決方案的一位CISO透露，他們的概念驗(yàn)證(PoC)結(jié)果表明，供應(yīng)商提供的測(cè)試平臺(tái)能提供事件響應(yīng)的可操作、準(zhǔn)確的指導(dǎo)。

但是在最復(fù)雜的測(cè)試場(chǎng)景中，ChatGPT仍然會(huì)出現(xiàn)“AI幻覺(jué)”。這意味著支持ChatGPT的大語(yǔ)言模型必須保持上下文引用的準(zhǔn)確性?！斑@對(duì)我們的PoC來(lái)說(shuō)是一個(gè)巨大的挑戰(zhàn)。ChatGPT解決方案在基線事件響應(yīng)方面表現(xiàn)良好，但是上下文深度越深，安全運(yùn)營(yíng)團(tuán)隊(duì)就越需要訓(xùn)練模型?！?/span>

ChatGPT在自動(dòng)執(zhí)行重復(fù)事件響應(yīng)任務(wù)方面表現(xiàn)良好，這為以前必須手動(dòng)執(zhí)行這些任務(wù)的安全運(yùn)營(yíng)團(tuán)隊(duì)成員節(jié)省了大量時(shí)間。

3.大規(guī)模簡(jiǎn)化SOC運(yùn)營(yíng)，減輕分析師負(fù)擔(dān)

一家領(lǐng)先的保險(xiǎn)和金融服務(wù)公司正在ChatGPT上運(yùn)行PoC測(cè)試，以了解它是否能通過(guò)自動(dòng)分析網(wǎng)絡(luò)安全事件并提出即時(shí)和長(zhǎng)期響應(yīng)建議來(lái)幫助減輕安全運(yùn)營(yíng)中心分析師的負(fù)擔(dān)。SOC分析師也在測(cè)試ChatGPT是否可以提供各種腳本的風(fēng)險(xiǎn)評(píng)估和建議。他們還了測(cè)試ChatGPT為IT、安全團(tuán)隊(duì)和企業(yè)員工提供安全策略和建議方面的有效性。此外，ChatGPT在員工培訓(xùn)方面也有巨大的應(yīng)用潛力。

4.實(shí)時(shí)可見(jiàn)性和漏洞管理

VentureBest采訪的幾位CISO表示，提高SOC中各種不同工具的可見(jiàn)性是當(dāng)務(wù)之急，但實(shí)現(xiàn)這一目標(biāo)具有挑戰(zhàn)性。ChatGPT可接受實(shí)時(shí)數(shù)據(jù)培訓(xùn)來(lái)提供實(shí)時(shí)漏洞報(bào)告，并列出企業(yè)網(wǎng)絡(luò)資產(chǎn)中所有已知和檢測(cè)到的威脅或漏洞。

經(jīng)過(guò)相應(yīng)數(shù)據(jù)訓(xùn)練后，大語(yǔ)言模型可提供實(shí)時(shí)漏洞報(bào)告，并按漏洞的風(fēng)險(xiǎn)級(jí)別、行動(dòng)建議和嚴(yán)重性級(jí)別進(jìn)行排名。

5.提高威脅情報(bào)的準(zhǔn)確性、可用性和背景信息

事實(shí)證明，ChatGPT基于對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)的實(shí)時(shí)分析，并結(jié)合大語(yǔ)言模型不斷創(chuàng)建的知識(shí)庫(kù)，可以有效地預(yù)測(cè)潛在威脅和入侵場(chǎng)景。一位運(yùn)行ChatGPT試點(diǎn)的CISO表示，目標(biāo)是測(cè)試系統(tǒng)是否能夠區(qū)分誤報(bào)和實(shí)際威脅。

到目前為止，該試點(diǎn)最有價(jià)值的發(fā)現(xiàn)是：大語(yǔ)言模型能夠分析企業(yè)內(nèi)生的大量威脅情報(bào)數(shù)據(jù)，然后為SOC分析師提供情境化、實(shí)時(shí)見(jiàn)解。

6.優(yōu)化安全配置

網(wǎng)絡(luò)安全和威脅檢測(cè)系統(tǒng)的手動(dòng)錯(cuò)誤配置是造成數(shù)據(jù)泄露的主要原因之一。很多企業(yè)對(duì)ChatGPT能否分析數(shù)據(jù)泄露指標(biāo)(IoC)，幫助識(shí)別和建議配置改進(jìn)感興趣。

企業(yè)希望ChatGPT能給出微調(diào)安全配置的最佳建議，以最大限度地減少誤報(bào)。

7.減少誤報(bào)

誤報(bào)率居高不下是網(wǎng)絡(luò)安全運(yùn)營(yíng)的頭號(hào)難題，也是CISO、CIO熱衷于評(píng)估評(píng)估安全大語(yǔ)言模型的的原因之一。多項(xiàng)研究表明，SOC分析師浪費(fèi)了大量時(shí)間處理最終被證明是誤報(bào)的警報(bào)。Invicti的調(diào)查發(fā)現(xiàn)，企業(yè)SOC每年平均花費(fèi)1萬(wàn)小時(shí)和50萬(wàn)美元來(lái)驗(yàn)證不可靠的漏洞警報(bào)。ESG的一項(xiàng)調(diào)查發(fā)現(xiàn)，Web應(yīng)用程序和API安全工具每天平均生成53個(gè)警報(bào)，其中45%是誤報(bào)。

一位在多個(gè)SOC進(jìn)行試點(diǎn)的CISO表示，迄今為止最重要的結(jié)果是：ChatGPT這樣的生成式AI可以大幅減少處理誤報(bào)所浪費(fèi)的時(shí)間。

8.更徹底、準(zhǔn)確、安全的代碼分析

網(wǎng)絡(luò)安全研究人員正在不斷測(cè)試大語(yǔ)言模型處理更復(fù)雜的安全代碼分析任務(wù)的能力。Victor Sergeev最近發(fā)表了一項(xiàng)更全面的測(cè)試：“ChatGPT成功識(shí)別了可疑的服務(wù)安裝，沒(méi)有出現(xiàn)誤報(bào)。ChatGPT準(zhǔn)確判斷出一段代碼被用來(lái)禁用Windows系統(tǒng)上的日志記錄或其他安全措施?！?/span>

Sergeev還使用Meterpreter和PowerShell Empire代理感染了目標(biāo)系統(tǒng)，并模擬了一些典型的對(duì)手程序。對(duì)目標(biāo)系統(tǒng)執(zhí)行掃描后，ChatGPT成功地從137個(gè)同時(shí)運(yùn)行的良性進(jìn)程中識(shí)別出兩個(gè)惡意進(jìn)程，沒(méi)有出現(xiàn)任何誤報(bào)。

9.改進(jìn)SOC標(biāo)準(zhǔn)化和治理，改善安全態(tài)勢(shì)

CISO表示，與在技術(shù)層面提高各種安全工具的可見(jiàn)性同樣重要的是，大語(yǔ)言模型有望提高SOC流程的標(biāo)準(zhǔn)化，使其能夠適應(yīng)安全環(huán)境變化，這是一種非常關(guān)鍵的安全運(yùn)營(yíng)能力。

10.自動(dòng)化SIEM查詢和SOC操作腳本

安全信息和事件管理(SIEM)查詢對(duì)于分析來(lái)自不同數(shù)據(jù)源的實(shí)時(shí)事件日志數(shù)據(jù)并識(shí)別異常行為至關(guān)重要，這也是生成式AI在網(wǎng)絡(luò)安全領(lǐng)域的理想用例。

一家大型金融服務(wù)公司的SOC分析師表示，SIEM查詢占據(jù)了她工作量的30%，并正在持續(xù)增長(zhǎng)，而基于大語(yǔ)言模型的自動(dòng)化創(chuàng)建和更新每周將至少節(jié)省一天半的時(shí)間。

總結(jié)：

網(wǎng)絡(luò)安全的大語(yǔ)言模型革命才剛剛開(kāi)始

2023年下半年將有更多基于大語(yǔ)言模型的網(wǎng)絡(luò)安全平臺(tái)問(wèn)世，熱點(diǎn)將是簡(jiǎn)化SOC安全運(yùn)營(yíng)，并縮小身份和端點(diǎn)的安全差距。來(lái)自網(wǎng)絡(luò)和端點(diǎn)的數(shù)據(jù)將是推動(dòng)大語(yǔ)言模型訓(xùn)練和創(chuàng)新的主要?jiǎng)恿Α?/span>

企業(yè)安全團(tuán)隊(duì)可以通過(guò)人工智能增強(qiáng)的持續(xù)學(xué)習(xí)形成“肌肉記憶”來(lái)適應(yīng)、響應(yīng)安全事件，并在攻擊得手之前將其遏制。

文章來(lái)源：GoUpSec