iThome
将生成式AI技术带入资安产品,2023年开始有科技大厂提出相关规画,展示这类功能的预览效果,到了年底,我们更是看到资安业者宣布对话式AI助手正式推出。像是:趋势科技11月27日正式推出Trend Companion,以及Google在12月15日宣布Duet AI in Security Operations上线,而不仅止于提供预览版或公开测试版。台厂也响应这股技术浪潮,例如奥义智慧先发展出AI虚拟助手,后续在2023年7月上线的XCockpit平台,也整合生成式AI技术。
从多家科技大厂的应用说明来看,现阶段,我们已经可以进一步解析其效益,简单分成下列两大层面:
效益一:提升资安监控、侦测与回应的效率
以往汇整大量资料来源与分析,可能需要耗费数天,因此前几年资安界就已开始重视用AI/ML模型辅助分析监控的作法,如今在生成式AI的协助下,不仅能够提供具备情境感知的大量资料与事件关联分析,只要透过提示或是自然语言的查询,可以带来下列5种助益。
(1)针对资安事件或异常的警示,快速提供事件摘要;(2)大幅加速分析查询与调查效率,资安人员透过自然语言的文字叙述表达,即可快速从大量日志与其他资料搜寻到关键资讯:(3)快速分析脚本与程式码,给出简单易懂的解释;(4)很快给予使用者因应上的建议,或是直接产生回应的自动化脚本,(5)提示或询问后也能给予选单提示按钮,将简化使用者操作与设定流程,让使用者点击确认后就能自动执行。
换言之,这将提升SIEM系统、侦测与回应系统,以及安全维运中心(SOC)的效率。而识别潜在威胁能力提升的好处很明显,意味著减少平均侦测时间(MTTD)、平均回应时间(MMTR),对企业而言,应变速度越快,资安状况相对会越好。
甚至我们看到有些业者强调生成式AI的好处,认为这种技术将带来前所未见的效率。
例如,Fortinet表示,AI可将辨识和控制威胁的处理时间,从超过20天之久大幅缩短至不到1小时,以及将资安威胁调查和回应缓解措施所需的时间,从超过18小时,缩短至15分钟或更短。奥义智慧也有同样观察,他们表示,警示建单时间可缩短至3分钟,案情调查时间(MTTI)也只需要15分钟。
效益二:可简化资安产品查询与操作,甚至带来新变革
过往资安产品若是操作遇到问题,或是遇到不熟悉的警示事件,通常人员需要查找操作手册,或是联系原厂请求技术支援,现在有了对话式的AI助理,将带来完全不同的操作体验,这是因为,现在可透过自然语言,以一问一答的方式来查询资料,并获得设定的建议,甚至更简便,完全不用提问,让使用者点选预设好的功能按钮项目,也就能直接得到答案。
更关键的是,不仅仅是可以在资安管理与大量资料查询上带来效益,在资安事件因应上带来辅助决策或AI决策的效益,从操作面来看,更是完全简化人员的相关操作流程。
这样的操作体验变革,不仅对于新进人员带来帮助,对于资深研究员同样有助益,因为这样的效率提升,可让资安人员专注于更具战略性与复杂性的任务。
而这些技术突破,不仅可促使大型资安团队更有效率,对于人力不充沛的中小企业而言,在这方面获得的助益可能是更大。
除此之外,过去几年全球资安界常探讨如何解决资安技能落差,以及资安人力不足等困境,而当时就已经期盼,AI资安发展能缓解人力的问题,同时也减轻资安人员的工作负担,如今在生成式AI带动下,确实替资安应用带来新的转机。
综合来看,让资安人员可专注于更重要的任务,是相当务实的改变。我们甚至期盼,资安培训工具未来也能融入生成式AI,让人员更容易学习不同领域的资安知识。