微软
这些年网路威胁加剧,资安人力却总是补不满,如何翻转攻防不对称的局势是资安发展重心,而AI应用正是大家期待已久的技术。
回顾2023年生成式AI应用成形与爆发,资安界忧心攻击者的技术门槛大幅降低,能发动更大规模且复杂的攻击。但水能覆舟,亦能载舟,生成式AI同样有助于资安,催生出新的防护作法。
尽管通用生成式AI问题持续受探讨,AI监理规范也正持续发展,像是建立AI风险验测方法,评估AI生命周期的资讯与资料安全需求,以及2023年下半的种种指引与立法,虽然确保生成式AI安全很重要,不过,锁定领域专属的局部应用,已是重要发展方向。
基本上,资安业者采用AI/ML提升本身产品与服务的能力,并非新鲜事,甚至不少厂商强调,资安解决方案要以AI为中枢,在GPT-4、PaLM 2、Llama 2等多个大型语言模型(LLM)引领之下,不仅带动生成式AI兴起,也再次掀起AI资安浪潮。
因此,这一年来生成式AI的应用,不仅微软与Google一举一动受热烈关注,许多资安大厂态度也很积极,令人惊喜的是,台湾多家资安业者也不落人后。
在2024年可以预见的是,对资安领域而言,生成式AI可望带来完全不同的新面貌,也有资安专家盼望这能成为资安人员的救星,帮助缩短攻防不对称的严峻态势。
因此不论企业规模大小,势必都要了解当前的生成式AI发展概况,才能更好设想未来如何提升资安防护。
微软敲响AI资安助手第一钟,大量推出的新应用都与生成式AI有关
早在2014年,我们就看到美国一家名为Tanium的新创公司,发展资安软体结合自然语言,使用者透过口语化文字输入提问,就能盘查企业电脑网路。到了2016年,对话机器人(Chatbot)开始步入主流,但当时仍处于自然语言理解阶段,还需改进对话管理与自然语言生成;在2018年,GPT-1诞生,促成新一波AI应用。
到了2023年,基于LLM的生成式AI技术不仅爆红,其资安领域上的应用潜力,也有目共睹。
首先,3月29日微软发表整合GPT-4大型语言模型的Security Copilot,目标是协助资安人员工作,相隔一个月之后,Google发布整合自家Sec-PaLM大型语言模型的Security AI Workbench平台。
这些产品新功能的预告,意味著新时代来临──将生成式AI技术整合至各种资安产品和服务。
接下来几个月,这两家大厂宣布将生成式AI的技术,扩大至众多产品线。以云端服务为例,像是Microsoft 365 Copilot、Duet AI for Google Workspace等,而这些辅助生产力工具的AI助理,吸引许多用户目光。在端点装置,例如个人电脑与手机,微软针对Windows系统,预计提供Copilot in Windows辅助功能,最新Google Pixel手机的相片魔术橡皮擦、提高解析度功能,背后也是导入了生成式AI。
更重要的是,还有各式资安产品,也都将拥抱这股新浪潮,包括微软的Microsoft Defender XDR、Sentinel、Intune,以及Google的Chronicle等。
资安结合生成式AI,微软带头掀起风潮
微软2023年3月29日预告,将推出全新Security Copilot,掀起资安领域结合生成式AI的旋风,他们指出该应用将成为资安人员的AI助手,后续并公布Security Copilot的运作架构,说明资安人只要送出指示(prompt)、接收答复,背后运作全由这个AI助手负责,而且,旗下多项资安产品都将支援Security Copilot。图片来源/微软
微软将生成式AI整合至旗下资安产品
根据微软Microsoft Defender XDR初步试用计划资料,可看出Security Copilot嵌在网页介面右侧,帮助快速总结事件,分析脚本与程式码,提供建议行动,以及撰写报告。图片来源/微软
微软、Google两家云端巨擘率先引领风潮
究竟生成式AI的出现,会让各类资安产品带来哪些改变?
以微软为例,在2023年11月公布的Microsoft Defender XDR预览版当中,企业将可借助嵌入的Security Copilot功能,达到多项应用效益,例如:不需撰写复杂的查询指令,可节省时间并减少发生错误的机率,可帮助快速摘要事件、分析脚本与程式码,能提供引导式回应机制,帮助操作人员对事件采取动作,同时,还能用自然语言产生Kusto查询语言(KQL),以及能够让撰写事件报告变得更有效率。
而且,几日后微软表示,将Microsoft Defender XDR/Sentinel,以及Security Copilot,整合至同一管理平台。
Google在12月也宣布Duet AI in Security Operations正式上线,这是适用于资安维运的生成式AI助理,供所有Chronicle用户使用,可简化威胁侦测并给予回应,协助归纳与分类威胁资讯,将自然语言输入转换为查询指令并执行复杂分析,提供案例资料与警报的自动摘要,以及提供后续步骤建议,以改善事件回应时间等。
同时Google还预告,未来几周,所有的Duet AI服务,都将包含新的多模态模型Gemini,这也显示出,近年生成式AI能力,其实是会快速地提升与进步。
多家资安业者同样拥抱生成式AI,台厂也赶上这股热潮
不只是微软与Google,事实上,短短几个月之内,有多家资安厂商纷纷跟上这股风潮,显然都是看重生成式AI在资安应用的潜力与优势。
如微软一发表Security Copilot之后,网路威胁情报业者Recorded Future的动作很迅速,在2023年4月11日宣布,在自家威胁情资(CTI)平台整合OpenAI GPT,强调可帮助企业整理庞大资料,并缓解网路安全技能短缺的情形。
接著,是资安风险管理业者Security Scorecard,他们在4月25日宣布,其服务将整合OpenAI的GPT-4,可用自然语言回答网路风险问题,像是:找出评分最低的10家供应商,显示过去一年有哪些重要供应商遭入侵等,让用户在风险管理决策上可以更有效率,并可针对需要优先处理的网路安全风险,提出缓解的建议。
资安业者SentinelOne也跟进,在4月26日公布整合生成式AI的Purple AI,强调对话式AI可以让威胁猎捕变得容易,让威胁分析变得简单,当中说明了Purple AI的应用特性。例如,当分析人员想要搜寻特定威胁时,可以使用环境是否感染SmoothOpreator的语句,而不需建立以入侵指标(IoC)形式的手动查询,在此同时,指出Purple AI对资料搜集与网路安全领域的理解,使它能够快速确定事件链,并向分析师总结出潜在的复杂威胁情况。
特别的是,台湾有资安业者更快发展生成式AI,并且早于上述公司。例如,前几年参与MITRE ATT&CK评估计划、受国际关注的奥义智慧,于微软Security Copilot发表后,在4月6日这天,该公司就宣布将推出「XCockpit」自动化资安威胁管理平台,并会导入AI虚拟分析助手于其中。
该平台不仅整合既有EDR与鉴识调查的产品,日后还将增加AD安全与ASM的功能模组,更关键的是,他们强调,该平台是依循AI-Assistant-as-a-Service概念而打造,可建构AI自动化的事件应变流程,协助第一线SOC资安人员及资安团队,让事件处理精准度与速度大幅提升。而这个XCockpit平台,已在2023年7月上线。
趋势科技对话式AI资安助手11月正式上线
2023年底,也就是最近一个多月以来,有更多资安大厂发布了相关消息,我们看到趋势科技、思科、Fortinet都有应用生成式AI的进展。这也意味,其实还有更多厂商已经在进行,并且陆续对外发表,此一新技术的应用渐成主流。
尤其是台湾出身发展到全球知名的趋势科技,先是在2023年6月发表生成式AI资安助手Companion,7月提供部分客户使用,并在11月27日正式推出Trend Companion,开放所有客户使用。
因此,以正式推出时间来看,这个能以自然语言聊天的Trend Companion,甚至领先于更早预告的Google与微软。
基本上,趋势科技这项功能整合于自家Trend Vision One整合式资安平台,可透过自然语言的聊天介面提供服务,该助手不仅提供事件摘要与全面分析报告,还能解释攻击警报,关联攻击战术与技巧,并清晰展示影响范围。它还能将简单语言转换成正式的查询语法,提高事件查询的精准度。
值得注意的是,他们还提到令我们印象深刻的应用情境,那就是:帮助识别利用合法工具的寄生攻击(LotL),例如,能解析一段PowerShell脚本的目的与运作,并产生人员能够容易理解的解释内容。
趋势科技AI助手在2023年底正式上线
趋势科技打造的Trend Vision One平台AI资安助手Trend Companion,2023年6月发表,在11月27日正式推出。根据他们展示的介面,这个AI助手不仅能够提供事件摘要与分析报告,也可帮助快速分析攻击脚本,并将结果以口语方式说明,让资安人员与团队更快了解威胁。图片来源/趋势科技
另一家网路与资安大厂思科,也有这方面的功能进展,我们在12月6日参加他们的墨尔本亚太区年度用户大会时,看到他们现场发表全新AI助手Cisco AI Assistant,而且首先强调的应用场景是在防火墙规则管理,包括:可用自然语言简化相关查询与操作,并能主动提供规则分析,以及改进的建议,像是清除重复或多余的规则,借此强化企业防火墙管理,以降低防火墙规则因设定复杂可能带来的安全风险与挑战。
当时,我们看到这方面的实机展示,在Cisco Defense Orchestrator云端管理介面上,用户可以叫出AI Assistant Beta版来对话,另外在Cisco防火墙管理中心介面上,也同样能有此应用。思科表示,这个AI助理之后也将扩及该公司旗下各产品线。
还有一家资安业者Fortinet,12月15日也宣布推出生成式AI助理,他们将此功能命名为Fortinet Advisor,并表示已在FortiSIEM、FortiSOAR产品开放公开预览版、供用户使用,其特色包含:可帮助解析资安威胁告警事件,提供事件分析摘要,当中将包含情境说明,以及潜在影响解释的内容,并且提供缓解措施指南与回应Playbook的范本,并可用自然语言输入提问,就能向Fortinet Advisor咨询资安建议。
值得我们注意的是,综观Advisor这一命名,其实也意味著,生成式AI不只是化身助手,也可视为一个虚拟咨询顾问般的存在。未来这项功能应用也将扩大,预计扩展至40多个AI驱动的解决方案。
思科展示用AI助理简化网路防火墙规则管理
2023年12月6日思科揭露AI助手功能,在思科Cisco Defense Orchestrator管理介面,将可叫出Cisco AI Assistant Beta的功能,以自然语言聊天方式,查询防火墙政策,询问如何建立防火墙资安政策,并快速获得规则建议。摄影/罗正汉
已有研究显示,资安研究人员正积极使用生成式AI
除了上述资安业者的动向,对于资安研究人员而言,在他们目前的工作领域,也呈现积极应用生成式AI的情况。
漏洞悬赏平台HackerOne于2023年10月,公布《骇客驱动安全报告(Hacker-Powered Security Report)》,调查结果特别列出几个必须重视的态势。他们发现有6成资安研究人员,正利用生成式AI(GenAI)来开发各种骇客工具,以用来发现更多的漏洞,也有66%的研究人员表示,正在或准备利用生成式AI来撰写报告。
无论如何,用AI帮助资安早已是大势所趋,生成式AI技术更是最新的利器。尽管现在只是这项技术爆发的第一年,还有很多进步空间与创新扩展,但我们可以预期的是,生成式AI资安的潜力相当被看重,尤其是能够快速处理大量资料的能力,以及用自然语言进行交流的能力。
整体而言,随著2024年的到来,企业可能要意识到,当生成式AI逐渐融入资安产品,预料将成为资安团队未来的一份子,甚至期盼是企业资安的神队友,但AI也将会让那些没有道德底线的攻击者,发展更多自动化攻击的武器,并且会让社交工程问题加剧,这些新挑战,我们同样需要积极因应,因为,新的AI时代已经来临。