top of page

生成式AI崛起,是強化資安的大好機會

2023-12-29

iThome
新聞來源:

這些年網路威脅加劇,資安人力卻總是補不滿,如何翻轉攻防不對稱的局勢是資安發展重心,而AI應用正是大家期待已久的技術。

回顧2023年生成式AI應用成形與爆發,資安界憂心攻擊者的技術門檻大幅降低,能發動更大規模且複雜的攻擊。但水能覆舟,亦能載舟,生成式AI同樣有助於資安,催生出新的防護作法。


儘管通用生成式AI問題持續受探討,AI監理規範也正持續發展,像是建立AI風險驗測方法,評估AI生命週期的資訊與資料安全需求,以及2023年下半的種種指引與立法,雖然確保生成式AI安全很重要,不過,鎖定領域專屬的局部應用,已是重要發展方向。


基本上,資安業者採用AI/ML提升本身產品與服務的能力,並非新鮮事,甚至不少廠商強調,資安解決方案要以AI為中樞,在GPT-4、PaLM 2、Llama 2等多個大型語言模型(LLM)引領之下,不僅帶動生成式AI興起,也再次掀起AI資安浪潮。


因此,這一年來生成式AI的應用,不僅微軟與Google一舉一動受熱烈關注,許多資安大廠態度也很積極,令人驚喜的是,臺灣多家資安業者也不落人後。


在2024年可以預見的是,對資安領域而言,生成式AI可望帶來完全不同的新面貌,也有資安專家盼望這能成為資安人員的救星,幫助縮短攻防不對稱的嚴峻態勢。

因此不論企業規模大小,勢必都要了解當前的生成式AI發展概況,才能更好設想未來如何提升資安防護。


微軟敲響AI資安助手第一鐘,大量推出的新應用都與生成式AI有關

早在2014年,我們就看到美國一家名為Tanium的新創公司,發展資安軟體結合自然語言,使用者透過口語化文字輸入提問,就能盤查企業電腦網路。到了2016年,對話機器人(Chatbot)開始步入主流,但當時仍處於自然語言理解階段,還需改進對話管理與自然語言生成;在2018年,GPT-1誕生,促成新一波AI應用。


到了2023年,基於LLM的生成式AI技術不僅爆紅,其資安領域上的應用潛力,也有目共睹。

首先,3月29日微軟發表整合GPT-4大型語言模型的Security Copilot,目標是協助資安人員工作,相隔一個月之後,Google發布整合自家Sec-PaLM大型語言模型的Security AI Workbench平臺。


這些產品新功能的預告,意味著新時代來臨──將生成式AI技術整合至各種資安產品和服務。

接下來幾個月,這兩家大廠宣布將生成式AI的技術,擴大至眾多產品線。以雲端服務為例,像是Microsoft 365 Copilot、Duet AI for Google Workspace等,而這些輔助生產力工具的AI助理,吸引許多用戶目光。在端點裝置,例如個人電腦與手機,微軟針對Windows系統,預計提供Copilot in Windows輔助功能,最新Google Pixel手機的相片魔術橡皮擦、提高解析度功能,背後也是導入了生成式AI。

更重要的是,還有各式資安產品,也都將擁抱這股新浪潮,包括微軟的Microsoft Defender XDR、Sentinel、Intune,以及Google的Chronicle等。


資安結合生成式AI,微軟帶頭掀起風潮微軟2023年3月29日預告,將推出全新Security Copilot,掀起資安領域結合生成式AI的旋風,他們指出該應用將成為資安人員的AI助手,後續並公布Security Copilot的運作架構,說明資安人只要送出指示(prompt)、接收答覆,背後運作全由這個AI助手負責,而且,旗下多項資安產品都將支援Security Copilot。圖片來源/微軟

微軟將生成式AI整合至旗下資安產品根據微軟Microsoft Defender XDR初步試用計畫資料,可看出Security Copilot嵌在網頁介面右側,幫助快速總結事件,分析腳本與程式碼,提供建議行動,以及撰寫報告。圖片來源/微軟

微軟、Google兩家雲端巨擘率先引領風潮

究竟生成式AI的出現,會讓各類資安產品帶來哪些改變?


以微軟為例,在2023年11月公布的Microsoft Defender XDR預覽版當中,企業將可藉助嵌入的Security Copilot功能,達到多項應用效益,例如:不需撰寫複雜的查詢指令,可節省時間並減少發生錯誤的機率,可幫助快速摘要事件、分析腳本與程式碼,能提供引導式回應機制,幫助操作人員對事件採取動作,同時,還能用自然語言產生Kusto查詢語言(KQL),以及能夠讓撰寫事件報告變得更有效率。

而且,幾日後微軟表示,將Microsoft Defender XDR/Sentinel,以及Security Copilot,整合至同一管理平臺。


Google在12月也宣布Duet AI in Security Operations正式上線,這是適用於資安維運的生成式AI助理,供所有Chronicle用戶使用,可簡化威脅偵測並給予回應,協助歸納與分類威脅資訊,將自然語言輸入轉換為查詢指令並執行複雜分析,提供案例資料與警報的自動摘要,以及提供後續步驟建議,以改善事件回應時間等。


同時Google還預告,未來幾週,所有的Duet AI服務,都將包含新的多模態模型Gemini,這也顯示出,近年生成式AI能力,其實是會快速地提升與進步。



多家資安業者同樣擁抱生成式AI,臺廠也趕上這股熱潮

不只是微軟與Google,事實上,短短幾個月之內,有多家資安廠商紛紛跟上這股風潮,顯然都是看重生成式AI在資安應用的潛力與優勢。


如微軟一發表Security Copilot之後,網路威脅情報業者Recorded Future的動作很迅速,在2023年4月11日宣布,在自家威脅情資(CTI)平臺整合OpenAI GPT,強調可幫助企業整理龐大資料,並緩解網路安全技能短缺的情形。


接著,是資安風險管理業者Security Scorecard,他們在4月25日宣布,其服務將整合OpenAI的GPT-4,可用自然語言回答網路風險問題,像是:找出評分最低的10家供應商,顯示過去一年有哪些重要供應商遭入侵等,讓用戶在風險管理決策上可以更有效率,並可針對需要優先處理的網路安全風險,提出緩解的建議。


資安業者SentinelOne也跟進,在4月26日公布整合生成式AI的Purple AI,強調對話式AI可以讓威脅獵捕變得容易,讓威脅分析變得簡單,當中說明了Purple AI的應用特性。例如,當分析人員想要搜尋特定威脅時,可以使用環境是否感染SmoothOpreator的語句,而不需建立以入侵指標(IoC)形式的手動查詢,在此同時,指出Purple AI對資料蒐集與網路安全領域的理解,使它能夠快速確定事件鏈,並向分析師總結出潛在的複雜威脅情況。


特別的是,臺灣有資安業者更快發展生成式AI,並且早於上述公司。例如,前幾年參與MITRE ATT&CK評估計畫、受國際關注的奧義智慧,於微軟Security Copilot發表後,在4月6日這天,該公司就宣布將推出「XCockpit」自動化資安威脅管理平臺,並會導入AI虛擬分析助手於其中。

該平臺不僅整合既有EDR與鑑識調查的產品,日後還將增加AD安全與ASM的功能模組,更關鍵的是,他們強調,該平臺是依循AI-Assistant-as-a-Service概念而打造,可建構AI自動化的事件應變流程,協助第一線SOC資安人員及資安團隊,讓事件處理精準度與速度大幅提升。而這個XCockpit平臺,已在2023年7月上線。


趨勢科技對話式AI資安助手11月正式上線

2023年底,也就是最近一個多月以來,有更多資安大廠發布了相關消息,我們看到趨勢科技、思科、Fortinet都有應用生成式AI的進展。這也意味,其實還有更多廠商已經在進行,並且陸續對外發表,此一新技術的應用漸成主流。


尤其是臺灣出身發展到全球知名的趨勢科技,先是在2023年6月發表生成式AI資安助手Companion,7月提供部分客戶使用,並在11月27日正式推出Trend Companion,開放所有客戶使用。

因此,以正式推出時間來看,這個能以自然語言聊天的Trend Companion,甚至領先於更早預告的Google與微軟。


基本上,趨勢科技這項功能整合於自家Trend Vision One整合式資安平臺,可透過自然語言的聊天介面提供服務,該助手不僅提供事件摘要與全面分析報告,還能解釋攻擊警報,關聯攻擊戰術與技巧,並清晰展示影響範圍。它還能將簡單語言轉換成正式的查詢語法,提高事件查詢的精準度。

值得注意的是,他們還提到令我們印象深刻的應用情境,那就是:幫助識別利用合法工具的寄生攻擊(LotL),例如,能解析一段PowerShell腳本的目的與運作,並產生人員能夠容易理解的解釋內容。


趨勢科技AI助手在2023年底正式上線趨勢科技打造的Trend Vision One平臺AI資安助手Trend Companion,2023年6月發表,在11月27日正式推出。根據他們展示的介面,這個AI助手不僅能夠提供事件摘要與分析報告,也可幫助快速分析攻擊腳本,並將結果以口語方式說明,讓資安人員與團隊更快了解威脅。圖片來源/趨勢科技

另一家網路與資安大廠思科,也有這方面的功能進展,我們在12月6日參加他們的墨爾本亞太區年度用戶大會時,看到他們現場發表全新AI助手Cisco AI Assistant,而且首先強調的應用場景是在防火牆規則管理,包括:可用自然語言簡化相關查詢與操作,並能主動提供規則分析,以及改進的建議,像是清除重複或多餘的規則,藉此強化企業防火牆管理,以降低防火牆規則因設定複雜可能帶來的安全風險與挑戰。


當時,我們看到這方面的實機展示,在Cisco Defense Orchestrator雲端管理介面上,用戶可以叫出AI Assistant Beta版來對話,另外在Cisco防火牆管理中心介面上,也同樣能有此應用。思科表示,這個AI助理之後也將擴及該公司旗下各產品線。


還有一家資安業者Fortinet,12月15日也宣布推出生成式AI助理,他們將此功能命名為Fortinet Advisor,並表示已在FortiSIEM、FortiSOAR產品開放公開預覽版、供用戶使用,其特色包含:可幫助解析資安威脅告警事件,提供事件分析摘要,當中將包含情境說明,以及潛在影響解釋的內容,並且提供緩解措施指南與回應Playbook的範本,並可用自然語言輸入提問,就能向Fortinet Advisor諮詢資安建議。

值得我們注意的是,綜觀Advisor這一命名,其實也意味著,生成式AI不只是化身助手,也可視為一個虛擬諮詢顧問般的存在。未來這項功能應用也將擴大,預計擴展至40多個AI驅動的解決方案。


思科展示用AI助理簡化網路防火牆規則管理2023年12月6日思科揭露AI助手功能,在思科Cisco Defense Orchestrator管理介面,將可叫出Cisco AI Assistant Beta的功能,以自然語言聊天方式,查詢防火牆政策,詢問如何建立防火牆資安政策,並快速獲得規則建議。攝影/羅正漢
已有研究顯示,資安研究人員正積極使用生成式AI

除了上述資安業者的動向,對於資安研究人員而言,在他們目前的工作領域,也呈現積極應用生成式AI的情況。


漏洞懸賞平臺HackerOne於2023年10月,公布《駭客驅動安全報告(Hacker-Powered Security Report)》,調查結果特別列出幾個必須重視的態勢。他們發現有6成資安研究人員,正利用生成式AI(GenAI)來開發各種駭客工具,以用來發現更多的漏洞,也有66%的研究人員表示,正在或準備利用生成式AI來撰寫報告。


無論如何,用AI幫助資安早已是大勢所趨,生成式AI技術更是最新的利器。儘管現在只是這項技術爆發的第一年,還有很多進步空間與創新擴展,但我們可以預期的是,生成式AI資安的潛力相當被看重,尤其是能夠快速處理大量資料的能力,以及用自然語言進行交流的能力。


整體而言,隨著2024年的到來,企業可能要意識到,當生成式AI逐漸融入資安產品,預料將成為資安團隊未來的一份子,甚至期盼是企業資安的神隊友,但AI也將會讓那些沒有道德底線的攻擊者,發展更多自動化攻擊的武器,並且會讓社交工程問題加劇,這些新挑戰,我們同樣需要積極因應,因為,新的AI時代已經來臨。

bottom of page