本文來(lái)自微信公眾號(hào)“GoUpSec”。
根據(jù)ESG的最新調(diào)查,98%的企業(yè)計(jì)劃在2024年增加威脅情報(bào)支出,但是威脅情報(bào)服務(wù)商需要借助生成式人工智能的力量來(lái)消除企業(yè)面臨的威脅情報(bào)五大痛點(diǎn)。
威脅情報(bào)淪為“學(xué)術(shù)活動(dòng)”
如今越來(lái)越多的企業(yè)意識(shí)到威脅情報(bào)的重要性,但建立、管理威脅情報(bào)并從中獲益往往很困難。ESG研究表明,72%的企業(yè)(員工數(shù)量超過1000名)發(fā)現(xiàn)很難透過威脅情報(bào)噪音進(jìn)行分類查找相關(guān)信息,63%的企業(yè)承認(rèn)他們沒有合適的員工(數(shù)量)或技能來(lái)查找相關(guān)信息。
難怪82%的企業(yè)聲稱他們的威脅情報(bào)計(jì)劃通常被視為學(xué)術(shù)活動(dòng),因?yàn)橥{情報(bào)報(bào)告無(wú)法提供真正的價(jià)值或幫助指導(dǎo)風(fēng)險(xiǎn)緩解決策。
AI可緩解威脅情報(bào)的五大痛點(diǎn)
在另一項(xiàng)研究中,ESG調(diào)查了380名網(wǎng)絡(luò)安全專業(yè)人員,以確定他們面臨的最大威脅情報(bào)計(jì)劃挑戰(zhàn)。以下是企業(yè)威脅情報(bào)的五大痛點(diǎn),以及生成式人工智能如何提供幫助的一些分析:
33%的網(wǎng)絡(luò)安全專業(yè)人士表示,威脅情報(bào)報(bào)告包含太多技術(shù)細(xì)節(jié),導(dǎo)致業(yè)務(wù)經(jīng)理難以理解。這并不奇怪,因?yàn)橥{情報(bào)分析師經(jīng)常陷入有關(guān)入侵指標(biāo)(IoC)、惡意軟件、對(duì)手戰(zhàn)術(shù)、技術(shù)和流程(TTP)、MITRE ATT&CK框架等的技術(shù)細(xì)節(jié)中。而生成式AI可以幫助威脅情報(bào)團(tuán)隊(duì)創(chuàng)建適合不同技術(shù)和業(yè)務(wù)背景的用戶的報(bào)告。這與威脅情報(bào)用戶的反饋相結(jié)合可以幫助企業(yè)不斷提高報(bào)告的質(zhì)量、相關(guān)性和及時(shí)性。
28%的網(wǎng)絡(luò)安全專業(yè)人士表示,威脅情報(bào)會(huì)產(chǎn)生大量噪音,使識(shí)別真正有價(jià)值的信息變得更加困難。許多企業(yè)威脅情報(bào)團(tuán)隊(duì)秉承“越多越好”的理念,收集和處理盡可能多的開源和商業(yè)威脅情報(bào),導(dǎo)致被淹沒在數(shù)據(jù)中,阻礙了有效的分析。生成式AI可以幫助威脅情報(bào)團(tuán)隊(duì)確定與公司、行業(yè)和地區(qū)最相關(guān)的威脅情報(bào)數(shù)據(jù)作為基線,然后幫助逐步鎖定其他威脅情報(bào)源。這不僅會(huì)提高威脅情報(bào)計(jì)劃的價(jià)值,還能降低成本,因?yàn)槠髽I(yè)能優(yōu)化選擇支付最相關(guān)的威脅情報(bào)源并放棄邊際威脅情報(bào)源。
27%的網(wǎng)絡(luò)安全專業(yè)人士表示,識(shí)別和阻止IoC占用了太多資源和精力,阻礙了安全戰(zhàn)略價(jià)值的實(shí)現(xiàn)。生成式人工智能可以通過三種方式提供幫助。首先,它可以幫助加速IoC發(fā)現(xiàn)和修復(fù),因?yàn)樗诎踩僮鞴ぷ髁鞒讨小4送?,它還提供了另一種工具來(lái)幫助威脅分析師與業(yè)務(wù)主管一起定義業(yè)務(wù)各個(gè)方面的優(yōu)先情報(bào)要求(PIR)。最后,如前所述,它可以針對(duì)不同的用戶定制威脅情報(bào)報(bào)告。
25%的網(wǎng)絡(luò)安全專業(yè)人員表示,他們幾乎沒有具備威脅情報(bào)技能的專業(yè)人才。雖然生成式人工智能無(wú)法減輕對(duì)高級(jí)情報(bào)技能的需求,但它可以幫助培訓(xùn)初級(jí)人員,同時(shí)通過創(chuàng)建檢測(cè)規(guī)則、評(píng)估文件/腳本是否惡意以及將漏洞與已知的漏洞進(jìn)行比較來(lái)幫助提升威脅情報(bào)團(tuán)隊(duì)的效能。
22%的網(wǎng)絡(luò)安全專業(yè)人士表示,他們沒能對(duì)攻擊者進(jìn)行充分分析。該痛點(diǎn)與痛苦金字塔的模型相一致,該模型指出,企業(yè)對(duì)對(duì)手了解得越多(即TTP、工具、網(wǎng)絡(luò)/主機(jī)工件等),防御就越充分,對(duì)攻擊者則意味著代價(jià)更大,難度更大。生成式人工智能無(wú)法替代經(jīng)驗(yàn)豐富的頂級(jí)分析師,但它可以幫助縮小技能差距。
警惕生成式人工智能的神話
如今,Cybersixgill、Mandiant、Microsoft和Recorded Future等多家威脅情報(bào)提供商已宣布為其威脅情報(bào)產(chǎn)品和服務(wù)提供生成式AI支持,預(yù)計(jì)會(huì)有很多安全廠商跟進(jìn)。但對(duì)于企業(yè)來(lái)說(shuō),需要警惕生成式人工智能的神話。
需要明確的一點(diǎn)是,AI不會(huì)取代威脅分析師或自行做出自動(dòng)化決策,但它可以作為人手不足、勞累過度的威脅情報(bào)分析師或缺乏高級(jí)安全技能的人員的輔助應(yīng)用。這對(duì)于CISO來(lái)說(shuō)應(yīng)該是一個(gè)好消息。ESG研究表明,98%的企業(yè)計(jì)劃在2024年增加威脅情報(bào)支出,但CISO首先應(yīng)該弄清楚生成式人工智能應(yīng)該如何融入威脅情報(bào)項(xiàng)目投資,如何緩解威脅情報(bào)項(xiàng)目的痛點(diǎn),以及如何提升威脅情報(bào)項(xiàng)目的收益。