近年来,网路安全治理及风险管理已成为热门议题,虽然早年资安产品就有从风险角度给出量化分数的作法,但在今年黑帽大会(Black Hat USA 2024)期间我们发现,趋势科技在强调要用AI来做资安风险管理时,正计划将可能风险财务损失金额(Financial loss)显示于产品介面,有望打破技术与商业沟通的鸿沟,同时,他们也将增加AI预测攻击路径的新能力。
资安产品平台将提供风险可能损失金额,打破与公司治理层的隔阂
在8月初黑帽大会现场,根据该公司研发团队的说明,他们的Trend Vision One平台上已涵盖不少从风险角度出发的资讯。
例如,他们将攻击面风险管理(ASRM)解决方案设为平台首页,在ASRM的仪表板上,也会呈现一个风险指标分数,让资安高层可以更直觉的方式来掌握整体态势,并让企业快速找出最高风险的地方去优先处理。
而且,他们接下来还有发展Identity Posture的新功能,目前是预览版,此方案是帮助企业掌控公司每个帐号的风险,也就从风险出发、从资安态势出发。
特别的是,趋势科技透露,ASRM介面将有新的重大改版,不仅是风险指标分数,还会有呈现可能风险损失金额的指标,让资安长可以更方便与董事会沟通,也利于争取预算,他们希望资安平台更能兼顾资安长与董事会的不同需求,并解决每个资安长的最大挑战。不过,这项改版时间尚未定案,可能在2025年上半,因为还涉及商业流程与资安保险等面向。
为何之前没有这么做?他们表示,这有两个因素:云端与AI,有云端才能搜集那么多的资料,有AI才可以帮助加速资料的即时计算,不像以前只能每月进行一次。而且,过去资安产品的报告都是相当独立,不论是电子邮件、端点或网路的报告,但这些相当片面且不够整体,因此,现在趋势科技希望从整体网路风险管理角度出发,未来也希望将不同资安业者产品资料整合其中。
在黑帽大会一周之后,趋势科技对台湾媒体展示了更多AI资安方面的应用,当中就有展示他们未来的新规画,要在平台介面上呈现风险损失金额。
一般而言,虽然量化成风险分数有很大的意义,可以用来表示信心程度,也可用与其他同性质业者来比较防护水准,但这是对资安管理人员而言。
趋势科技台湾区技术总监刘家麟指出,老板或董事会往往无法理解资安人员的专业术语,例如,当你告诉老板企业风险是60分时,他可能不会明白这个分数的意义,他更关心的是这对营运与财务有何影响。
因此,为了有效与上层沟通,现在我们应该可以利用AI来协助评估,包括资产的重要性,以及将营运营收状况加入成为其中的元素。
如此一来,当你告诉老板企业今年面临资安风险,可能导致5,800万美元的损失时,这时就会引起老板的注意,因为这样的内容并不像风险分数那样模糊,这时资安长或团队提出所需的资安投资金额,老板会更容易理解与给予支持,因为这能帮助他减少潜在的财务损失。
可用AI关联出攻击路径,并从早期风险事件预测接下来的攻击行为,做到更主动的风险缓解
关于生成式AI在资安应用上的升级,趋势科技在2024黑帽大会的演说上曾提到,随著代理式AI的应用发展,将颠覆以前的资安管理方式,尤其是谈到,不只是要用AI搜集多方资讯交互关联出事件的「攻击路径」,我们现在更要用AI关联出「浅在攻击路径」,并且「预测」接下来可能的攻击行为。当时趋势科技向我们指出,当企业认知到可以有这样的能力时,确实感到相当大的兴趣。
本周趋势科技揭露这方面的更多细节,并说明该公司在资安预测上的发展情形。
基本上,风险评估是资安预测上的基础。过去的风险评估方式,大多是针对个别威胁与资产去定义其风险,但这样的风险评估并不完整,现在他们强调的是,我们需要建立出资产、资料流向图的一个Map,有了这样的可视性,当识别出当一台主机处于可存取敏感资料的路径上,其风险应该会比另一台有同样风险的主机要高。
而在资安预测的发展上,早期是采单纯静态式的防御规则,前两年他们开始推动持续性风险评估,不过那时还没有将AI元素加入,主要还是针对指定一台主机的风险事件去计算风险。
今年2024年有很大转变,在生成式AI技术的帮助下,趋势科技将能够由AI去针对使用者、主机位址的重要性去计算真正的风险,以及将会影响的资产范围。因此,在预测攻击路径的发展上,他们现在已经可以借由许多Sansor将资料流向图画出来,做到简单的攻击路径预测。
更重要的是,未来他们将会进一步提升这方面的能力,预计今年第3或第4季之后,他们要将所有搜集到的风险与威胁事件,能够每一条全部都列出来,如此一来,针对不同的风险事件,将能够预测接下来多条潜在攻击路径,这时就能及早因应,并且给出优先处理顺序。
还有在不同层面上的资安预测,趋势科技也有提出具体作法,像是在过去30天内所发现的可疑连结、可疑邮件、弱点,以及行为监控违规,将可预测未来15天是否有可能有害的应用程式、木马程式,或后门程式,进而产生值得警惕的风险事件。