奥义智慧
用生成式AI帮助资安应用,不只是微软与Google的一举一动受广大关注,在迈向2024年之际,我们更是可以发现,已有几家台湾资安业者率先投入发展,并且实际端出可应用的产品。这不仅突显台湾资安业者的技术实力,也显示他们及早布局、持续关注之余,也累积实作经验,才能在技术浪潮的一开始,就有了相关成果与进展。
有哪些台湾业者行动最积极?早在2023年5月台湾资安大会,也就是微软预告推出Security Copilot没多久,知名资安新创奥义智慧就展示,将AI虚拟分析助手导入新的XCockpit平台,能提供中文案情摘要与处置建议,7月上线。
接下来是趋势科技,6月宣布Trend Vision One整合式资安平台,将提供自然语言聊天介面的AI助手Companion,7月开放部分客户使用,最近11月27日,已正式向所有客户开放这项应用。
另外,资安监控委外服务商安碁资讯在本月举行的年度媒体资安讲堂,也首度透露,他们要用ChatGPT帮助资安服务与资安工作,并制订3大发展方向,目前发展进度已达到7成。
显然,在许多资安业者都高喊AI资安,以及国际大厂陆续用生成式AI帮助资安之下,我们确实看到台湾已有资安业者,同样看好新技术带来的创新与机会,并在2023年已积极展开相关行动,未来2024年,我们也期盼更多台湾资安业者能够需与时俱进,善用特性以提升效率。毕竟,在骇客积极利用生成式AI的状况之下,如果国内资安业者没有善用AI自动化的做法,很有可能更无法跟上日益加剧的威胁态势。
基于厂商公开展示与揭露这些功能的时机都在2023年的条件限制,这次探讨AI资安的封面故事,我们特别选择奥义智慧、趋势科技、安碁资讯这3家业者,与他们一起探讨最新的发展态势。
与工作流程整合是关键,从解决用户问题的角度出发
关于用生成式AI帮助资安这件事,奥义智慧有很深刻的想法,该公司创办人邱铭彰特别说明了他们的发展策略。
他指出,应从解决前线人员问题的目标开始设想。因为,目前资安人员使用资安系统时,面对各种警示,通常会看到介面上有相当多的资料需要解读,因此,这里的最大挑战在于,未完成充足训练的人员根本看不懂,即便厂商培养这方面的人才,也很容易被挖角。
所以,现在如果能在资安领域善用生成式AI技术,可以快速产生事件摘要、建议措施,将能直接解决使用者的需求。更重要的是,可借此大幅减少平均侦测时间(MTTD)、平均调查时间(MTTI),并且使事件本身的解读更有意义。
同时,这也将改变资安团队运作效率的量测。而在奥义智慧自家的XCockpit介面上,已经将这两项指标直接显示于首页仪表板,作为重要观测指标。
关于生成式AI在操作体验上带来的简化,其实我们陆续从各家厂商发展看到例子,并认为可能带来新的变革,像是可借由一问一答方式查询,也能点击AI给出的建议按钮执行,还有AI自动建议通知的形式,让相关设定与操作变得更简化与不同。
邱铭彰也有同样看法,他认为,最大的变化就是发生在使用者体验,他预见资安系统UI介面将朝向更简洁发展,因为过往资安系统的介面很复杂,需要显示相当多的资料,但从用户角度而言,只要能够解决问题就好,这才是根本。
此见解可从奥义智慧展示的XCockpit平台介面得到印证,我们发现,当中并未特别设计自然语言输入的对话框。
邱铭彰表示,他们的工单管理系统已能自动整并案件,使用者只需要点击,就可以看到自动化调查的结果,包括手法、攻击来源与出建议等,即便一段Base 64编码的内容、命令列的指令内容的分析,也只要点击选项,就会提供简显易懂的说明。
他并以近期向客户展示的经验为例,当时他们进行红蓝队演练,AI资安系统可以做到「当侦测到攻击发生到哪,针对攻击的解说也就可以到哪」,这样的呈现方式仿佛游戏直播。
邱铭彰强调,现在很多业者的生成式AI应用,都是产生威胁情资的辅助说明,但整合在工作流程才是关键,并且要让生成式AI能做资安决策,并不只是单纯提供操作辅助,如同自驾车Level 2与Level 3的差异。他认为,这是台湾资安厂商发展AI功能时可以思考的方向。
如此看来,奥义智慧已设想将生成式AI与工作流程深度整合。不过,对于交由AI来进行决策,我们也忧心这么做真的可行吗?邱铭彰表示,用于资安是可以的,但与人命相关的请不要交给AI。
另一个我们好奇的问题是:过往资安业者就已经在使用AI/ML模型,与生成式AI相比,究竟有何具体差异?
邱铭彰解释,以奥义智慧而言,他们过去开发三个AI小模型,以此来让案情分析做到更准确,第一个AI模型帮助挑出重要的事件,第二个AI模型可组成案情结构并将事件轴串起,第三个AI模型能将案情解说成中文并产生建议,而他们的CyCraftGPT,目前版本是基于可商用LLM模型Mistral而打造,当中还有以台湾习惯用语来训练。
总合而言,CyCraftGPT与先前AI模型的使用并不冲突,而是可以更好将多个AI模型的效果串联起来。
另外,邱铭彰也预测,不仅资安系统UI会朝向简洁设计,还会出现很多聊天机器人,这就如同ChatGPT服务,介面其实就只是对话框的形式,并没有复杂的UI设计。
他还透露,公司目前最想解决的两个问题:一是用于产品手册与说明书的查询;另一是国外资安情资新闻的汇整,这将能帮助资安长更好理解,也是改进资安服务的体验。
奥义智慧推资安新平台,将AI虚拟分析师融合到资安事件的处理流程
台湾资安新创奥义智慧今年7月正式推出XCockpit平台,当中内建AI虚拟分析助手应用,强调工作流程才是关键,可做到自动化案件管理,AI自动化鉴识,以及提供建议措施,直接解决使用者的需求。这也大幅减少平均侦测时间(MTTD)、平均调查时间(MTTI),让资安团队运作可量测且更有效率。图片来源/奥义智慧
XCockpit平台上的AI虚拟分析师,能提供中文案情摘要,也能针对一段Base 64编码、命令列的指令内容分析,并提供处置建议。图片来源/奥义智慧
建构高度弹性的介面,资安的新手、老手,以及资安长都可受益
很早就从台湾跃上国际资安舞台的趋势科技,他们的资安产品线可说是相当庞大,因此,他们在2021年就打造Trend Vision One整合式资安平台,当中以XDR为核心,并结合更多产品功能,随著2023年AI资安助手Trend Companion的推出,将能够带来哪些助益?
他们表示,Trend Companion是利用自然语言的聊天介面提供服务,这个AI助手可以带来很多帮助,不论是事件摘要与分析报告、解释攻击警报与关联攻击战术与技巧,并可清晰呈现影响范围等,还能帮助识别利用合法工具的寄生攻击(LotL),并产生让人员可以易于理解的解释内容。
同时,趋势科技也阐释了这些帮助所带来的效益,不仅是扩大并加速资安维运工作,更大意义就是,能够帮助每个不同角色,使得每个人都能有效利用趋势科技的服务,而其背后的关键就是,AI助手Trend Companion带来的高度弹性介面。
例如,不只是让资深分析师在面对复杂环境时,可以快速追踪威胁,也能为资安新进人员带来帮助,甚至无论是资安长或事件处理专员,每个人都将可以根据自己的需求,获取定制化的资讯。
由于生成式AI的特性,就是能够分析庞大的资料集,并能理解与摘要资讯的内容,还能产生新的内容,因此,趋势科技明确指出,生成式AI与传统AI/ML最大的差异,就是在于其高度的弹性和能力,以及用自然语言来接受命令和回答问题。
而这样的特性,对于处理资安事件尤其重要。因为这些事件,通常涉及广泛的知识和繁琐的查询工作,如今有了AI自动助手,将能快速生成查询脚本,解释复杂事件,并且调用LLM内部的知识,这将大幅提高使用者的工作效率。
对于不同AI技术的优势,趋势科技认为,以传统的机器学习(ML)而言,在准确性方面表现良好,主要用在侦测恶意程式方面,尤其对变种恶意程式;而生成式AI对于理解恶意程式的意图,以及威胁入侵事件处理,应用是更加合适。因此,他们预期,生成式AI资安的应用还会持续扩张。例如,未来在XDR平台的搭配之下,经过长时间的学习,将可对跨不同资安产品之间的事件,提供资安处理建议。
趋势科技推AI助手,让多种角色都能易于使用
资安大厂趋势科技在Trend Vision One平台上,加入Trend Companion这项AI助手功能,以说明以自然语言的聊天介面提供服务的好处,可让资深的资安专家、刚入行的新手、资安长还是事件处理专员,这些不同角色都可根据自己的需求,获取定制化的资讯,这种高度弹性的介面,将使每个人都能有效利用他们的服务。图片来源/趋势科技
在Trend Vision One平台的介面上,设计了Companion可解释命令列的功能选项,可解析一段PowerShell脚本的目的与运作,帮助识别利用合法工具的寄生攻击(LotL)。图片来源/趋势科技
聚焦自动化工具开发,以及资安知识库与问题咨询的应用面
另一家资安监控委外服务商安碁资讯,其应用虽然不是针对资安产品面,但他们年底向台湾媒体揭露公司发展近况时,特别提到借助ChatGPT帮助资安服务与资安工作,预计发展三大方向。
该公司技术副总黄琼莹表示,这些面向分别是:自动化检测工具开发、资安文件知识库建立,以及资安实务问题咨询。上述应用的发展都将基于生成式AI,其核心为GPT-4,不过,因为这些用在公司内部,他先要强调遵循三大原则:「不输入公司内部敏感资讯」、「不输入客户相关机密资讯」、「不将对话用作大型语言模型的训练资料」。
关于具体应用场景,黄琼莹表示,以自动化工具开发为例,工程师在整理使用者开发需求时,可透过LLM协助,生成初步架构、程式码语法,有效降低沟通与开发成本。同时,LLM能协助撰写单元测试,降低正式运行时的错误发生率。
再者,LLM的应用有助于建立资安知识库,提升内容的正确性并减少编写弱点范本的时间;至于资安实务问题咨询的应用,由于LLM能分析客户提问,提供相关资讯,这将加速回应客户的速度。
不只是生成式AI技术,黄琼莹也提及公司应用其他AI技术的最新进展。他指出,深度学习与生成式AI的概念不同,生成式AI是有创作(造)力的,会依其训练模型而产出相对的资讯。
以安碁资讯2023年导入的Auto Encoder技术而言,此一深度学习是学习从输入到输出的复杂映射关系,并依此建立特定行为模型,当新资料输入将可判断与以往不同的行为;此外,2024年安碁资讯还将发展用AI引擎决策判断资安事件,可透过每月搜集大量资料,结合现有已知资安事件的处理经验,进行监督式学习,其成果将是:仅需新接收到的特定日志纪录,即可由监督式学习的结果,判定是否为资安事件。
换言之,每个资安事件判定不需要都预先设计好规则,如此可降低人力的投入。此外,这些巨量资料也同样与机器学习结合,产生异常侦测、预测分析以及归类等模型,使其更具效率。这项AI引擎计划目前也已在进行中。
安碁资讯看好ChatGPT应用,聚焦三大发展面向
对于ChatGPT的应用,资安监控委外服务商安碁资讯同样看重相关效益,该公司在2023年12月揭露他们聚焦三大方向,包括:自动化检测工具开发、资安文件知识库建立,以及资安实务问题咨询。例如,应用LLM建立资安知识库,将提升内容的正确性,同时也能减少编写弱点范本的时间。他们并表示,这些项目都已经在进行,目前完成度大约是7成。摄影/罗正汉
生成式AI资安应用也扩及开发人员
综观此一发展态势,不论是中小资安业者或是国际资安大厂,对于生成式AI资安的发展,已经找出适用面向并付诸行动,这些都会是相当重要的讯号。
对于其他台湾资安产业而言,应该也要设法积极采取行动。毕竟,当攻击者都在用生成式AI让攻击伎俩大幅进化,防御者若是完全没有任何想与因应动作,或是仍未察觉新技术所带来的各种改变,恐怕会面临相当危险的局面。
无论如何,过去几年我们在谈AI资安时,资安界期望在很多面向都能用AI来助攻,包括:内容过滤、未知漏洞检测、密码安全、恶意程式分析、异常侦测、钓鱼侦测、事件应变训练等。如今随著生成式AI的市场应用已然成形,也将带来更多应用发想。
尽管大家都知道,科技发展一直是双面刃,我们预期AI将升级既有威胁手法与破坏规模,或是带来新的威胁,但在许多防护层面的实践作为上,我们也能设法善用其特性,有机会做到更自动化的侦测,以及更快速的反应。
而且,AI能帮助资安的层面,不只是资安产业,软体开发领域也能受惠。像是提升开发人员写程式生产力的GitHub Copilot,在2023年就新增一项功能,是基于LLM的AI漏洞过滤系统,能在开发者撰写程式码之际,避免写出不安全的程式码,这也是应用方式之一。