本文來自微信公眾號“GoUpSec”。
在當(dāng)今網(wǎng)絡(luò)安全威脅日益嚴(yán)峻的形勢下,安全運營中心(SOC)肩負(fù)著重大責(zé)任。然而,SOC分析師往往人手不足,工作繁重。生成式人工智能(GenAI)的出現(xiàn)為緩解這一困境帶來了希望,使初級安全分析師能夠擺脫繁瑣的分類和文檔工作,將更多精力投入調(diào)查、響應(yīng)和核心技能培養(yǎng)。
以下是已經(jīng)在全球SOC嶄露頭角的六大生成式人工智能應(yīng)用:
一、
培訓(xùn)新員工
卡內(nèi)基梅隆大學(xué)教授Ben Moseley指出,培訓(xùn)新員工通常會占用資深分析師寶貴的時間。生成式人工智能助理可以快速回答新員工的提問,幫助他們更快上手。
二、
信息收集
Forescout Technologies是一家為企業(yè)客戶提供SOC服務(wù)的公司,同時也運營著自己的SOC。該公司允許生成式人工智能訪問客戶數(shù)據(jù),但僅限于Forescout構(gòu)建和控制的受限預(yù)覽。分析師還可以使用公共版本ChatGPT來處理不涉及客戶數(shù)據(jù)或公司機密信息的常規(guī)工作。Forescout首席技術(shù)官JustinFoster表示,生成式人工智能的效率和便利性遠(yuǎn)超傳統(tǒng)搜索引擎,并且能夠理解上下文,方便后續(xù)對話。初級分析師可以直接查看潛在事件描述和行動建議,從而快速提升工作效率。
Foster強調(diào),生成式人工智能可以幫助自動化初級分析師的任務(wù),讓他們騰出更多精力用于更高級別的威脅響應(yīng)活動。
三、
定制化模型與安全控制
Forescout在私有實例中運行定制模型,以提高安全性并加強控制。他們還通過API而不是讓分析師直接與模型對話的方式來設(shè)置防護措施。Foster表示,他們選擇控制提問內(nèi)容并向用戶提供答案,以此確保安全使用。這種方式更加便捷,系統(tǒng)可以提前準(zhǔn)備好答案,避免分析師需要自行剪切粘貼所需信息并編寫提示。
四、
編寫腳本和摘要
Netskope是一家擁有全球SOC的公司,可以24/7全天候監(jiān)控其內(nèi)部資產(chǎn)并響應(yīng)安全警報。Netskope最初嘗試使用ChatGPT查找新威脅信息,但很快發(fā)現(xiàn)其信息存在時效滯后的問題。隨后,他們將目光投向了生成式人工智能的其他功能,例如根據(jù)防火墻規(guī)則編寫訪問控制條目等。
Netskope副首席信息安全官James Robinson表示,他們會為分析師制定使用指南,例如避免將敏感信息輸入ChatGPT。隨著技術(shù)的發(fā)展,更安全的選擇陸續(xù)出現(xiàn),例如私有實例和API訪問。Robinson指出,他們更信賴API提供的安全性保障。
五、
幫助分析師快速了解威脅情報的最新動態(tài)
例如使用Copilot來更新威脅行為體相關(guān)的信息。Robinson認(rèn)為,生成式人工智能可以幫助新入職分析師更快地創(chuàng)建威脅摘要,從而騰出更多時間進行深入理解。對于資深分析師而言,生成式人工智能可以起到倍增器作用,幫助他們更高效地完成工作。未來,生成式人工智能甚至可以協(xié)助構(gòu)建自定義規(guī)則、開展工程檢測并與其他系統(tǒng)集成。
六、
審查合規(guī)政策
Insight是一家位于亞利桑那州的解決方案集成商,在自身SOC中使用生成式人工智能,也為企業(yè)提供相關(guān)咨詢服務(wù)。他們的一項早期應(yīng)用案例是利用生成式人工智能審查合規(guī)政策并提出建議。
例如,用戶可以詢問:“閱讀我所有的政策,并告訴我根據(jù)現(xiàn)行監(jiān)管框架我應(yīng)該采取哪些措施,以及我的政策與這些建議的差距有多大?”
Insight使用運行在微軟Azure私有實例中的OpenAI,結(jié)合可檢索增強型生成(RAG)技術(shù)訪問其數(shù)據(jù)存儲。Taglienti強調(diào),提供正確的上下文并提出恰當(dāng)?shù)膯栴},將有助于生成式人工智能發(fā)揮最大效用。
生成式人工智能在SOC中的進階應(yīng)用
生成式人工智能在SOC中的應(yīng)用前景非常廣闊,例如Secureworks多年來一直在使用各種形式的人工智能,包括異常檢測、其他機器學(xué)習(xí)模型,甚至神經(jīng)網(wǎng)絡(luò)。這些系統(tǒng)幫助Secureworks收集和優(yōu)先排序警報,使分析師能夠優(yōu)先處理最重要的警報。在過去的18個月中,該公司將警報數(shù)量減少了80%,分析師的工作量減少了50%,使分析師能夠?qū)⒏鄷r間花在更困難的案件和服務(wù)新客戶上。
公司首席產(chǎn)品官凱爾·法爾肯哈根(Kyle Falkenhagen)表示:“我們的下一個關(guān)注領(lǐng)域是如何從分類、調(diào)查和響應(yīng)的角度改善分析師體驗。”生成式人工智能恰逢其時地登場。
以下是生成式人工智能在SOC中的三大進階應(yīng)用:
自動化操作:安全專家們預(yù)測,生成式人工智能未來將能夠執(zhí)行操作,例如根據(jù)特定策略和漏洞數(shù)據(jù)庫( MITRE等)創(chuàng)建標(biāo)準(zhǔn)操作流程。
更高效的威脅響應(yīng):Secureworks公司已經(jīng)開發(fā)了插件,可以讓有用的數(shù)據(jù)輸入到人工智能系統(tǒng)中。他們還在最近的一次黑客馬拉松活動中測試了將生成式人工智能融入其編排引擎。該公司首席產(chǎn)品官KyleFalkenhagen表示,生成式人工智能可以推理并采取必要步驟,例如阻止用戶登錄、選擇合適的處置方案并調(diào)用API執(zhí)行操作,而無需人工干預(yù)。
人才短缺與技能培養(yǎng):Falkenhagen認(rèn)為,生成式人工智能的出現(xiàn)不會導(dǎo)致安全分析師崗位的消失,反而會讓他們將精力轉(zhuǎn)移到更高價值的活動上,例如調(diào)查、根因分析和威脅狩獵等。他表示,生成式人工智能可以幫助緩解當(dāng)前網(wǎng)絡(luò)安全人才短缺的困境,不但可以提高一線分析師的水平(接近二線),而且能夠成為分析師的顧問和技能培訓(xùn)師。