這些年網路威脅加劇,安全人力卻總是補不滿,如何反轉攻防不對稱的局勢是安全發展重心,而AI應用正是大家期待已久的技術。
回顧2023年生成式AI應用成形與爆發,安全界憂心攻擊者的技術門檻大幅降低,能發動更大規模且複雜的攻擊。但水能覆舟,也能載舟,生成式AI同樣有助於安全,催生出新的防護做法。
儘管通用生成式AI問題持續受探討,AI監理規範也正持續發展,像是創建AI風險驗測方法,評估AI生命周期的資訊與數據安全需求,以及2023年下半的種種指引與立法,雖然確保生成式AI安全很重要,不過,鎖定領域專屬的局部應用,已是重要發展方向。
基本上,安全企業採用AI/ML提升本身產品與服務的能力,並非新鮮事,甚至不少廠商強調,安全解決方案要以AI為中樞,在GPT-4、PaLM 2、Llama 2等多個大型語言模型(LLM)引領之下,不僅帶動生成式AI興起,也再次掀起AI安全浪潮。
因此,這一年來生成式AI的應用,不僅微軟與Google一舉一動受熱烈關注,許多安全大廠態度也很積極,令人驚喜的是,台灣多家安全企業也不落人後。
在2024年可以預見的是,對安全領域而言,生成式AI有望帶來完全不同的新面貌,也有安全專家盼望這能成為安全人員的救星,幫助縮短攻防不對稱的嚴峻態勢。
因此不論企業規模大小,勢必都要了解當前的生成式AI發展概況,才能更好設想未來如何提升安全防護。
微軟敲響AI安全助手第一鍾,大量推出的新應用都與生成式AI有關
早在2014年,我們就看到美國一家名為Tanium的創業公司,發展安全軟體結合自然語言,用戶通過口語化文本輸入提問,就能盤查企業電腦網路。到了2016年,對話機器人(Chatbot)開始步入主流,但當時仍處於自然語言理解階段,還需改進對話管理與自然語言生成;在2018年,GPT-1誕生,促成新一波AI應用。
到了2023年,基於LLM的生成式AI技術不僅爆紅,其安全領域上的應用潛力,也有目共睹。
首先,3月29日微軟發布集成GPT-4大型語言模型的Security Copilot,目標是協助安全人員工作,相隔一個月之後,Google發布集成自家Sec-PaLM大型語言模型的Security AI Workbench平台。
這些產品新功能的預告,意味著新時代來臨──將生成式AI技術集成至各種安全產品和服務。
接下來幾個月,這兩家大廠宣布將生成式AI的技術,擴大至眾多產品線。以雲計算服務為例,像是Microsoft 365 Copilot、Duet AI for Google Workspace等,而這些輔助生產力工具的AI助理,吸引許多用戶目光。在端點設備,例如個人電腦與手機,微軟針對Windows系統,預計提供Copilot in Windows輔助功能,最新Google Pixel手機的照片魔術橡皮擦、提高解析度功能,背後也是導入了生成式AI。
更重要的是,還有各式安全產品,也都將擁抱這股新浪潮,包括微軟的Microsoft Defender XDR、Sentinel、Intune,以及Google的Chronicle等。
安全結合生成式AI,微軟帶頭掀起風潮
微軟2023年3月29日預告,將推出全新Security Copilot,掀起安全領域結合生成式AI的旋風,他們指出該應用將成為安全人員的AI助手,後續並公布Security Copilot的運行架構,說明安全人只要送出指示(prompt)、接收答覆,背後運行全由這個AI助手負責,而且,旗下多項安全產品都將支持Security Copilot。圖片來源/微軟
微軟將生成式AI集成至旗下安全產品
根據微軟Microsoft Defender XDR初步試用計劃數據,可看出Security Copilot嵌在網頁接口右側,幫助快速總結事件,分析腳本與程序代碼,提供建議行動,以及撰寫報告。圖片來源/微軟
微軟、Google兩家雲計算巨頭率先引領風潮
究竟生成式AI的出現,會讓各類安全產品帶來哪些改變?
以微軟為例,在2023年11月公布的Microsoft Defender XDR預覽版其中,企業將可藉助嵌入的Security Copilot功能,達到多項應用效益,例如:不需撰寫複雜的查詢指令,可節省時間並減少發生錯誤的機率,可幫助快速摘要事件、分析腳本與程序代碼,能提供引導式回應機制,幫助操作人員對事件採取動作,同時,還能用自然語言產生Kusto查詢語言(KQL),以及能夠讓撰寫事件報告變得更有效率。
而且,幾日後微軟表示,將Microsoft Defender XDR/Sentinel,以及Security Copilot,集成至同一管理平台。
Google在12月也宣布Duet AI in Security Operations正式上線,這是適用於安全運維的生成式AI助理,供所有Chronicle用戶使用,可簡化威脅偵測並給予回應,協助歸納與分類威脅資訊,將自然語言輸入轉換為查詢指令並執行複雜分析,提供案例數據與警報的自動摘要,以及提供後續步驟建議,以改善事件回應時間等。
同時Google還預告,未來幾周,所有的Duet AI服務,都將包含新的多模態模型Gemini,這也顯示出,近年生成式AI能力,其實是會快速地提升與進步。
多家安全企業同樣擁抱生成式AI,台廠也趕上這股熱潮
不只是微軟與Google,事實上,短短几個月之內,有多家安全廠商紛紛跟上這股風潮,顯然都是看重生成式AI在安全應用的潛力與優勢。
如微軟一發布Security Copilot之後,網路威脅情報企業Recorded Future的動作很迅速,在2023年4月11日宣布,在自家威脅情報資訊(CTI)平台集成OpenAI GPT,強調可幫助企業整理龐大數據,並緩解網路安全技能短缺的情形。
接著,是安全風險管理企業Security Scorecard,他們在4月25日宣布,其服務將集成OpenAI的GPT-4,可用自然語言回答網路風險問題,像是:找出評分最低的10家供應商,顯示過去一年有哪些重要供應商遭入侵等,讓用戶在風險管理決策上可以更有效率,並可針對需要優先處理的網路安全風險,提出緩解的建議。
安全企業SentinelOne也跟進,在4月26日公布集成生成式AI的Purple AI,強調對話式AI可以讓威脅獵捕變得容易,讓威脅分析變得簡單,其中說明了Purple AI的應用特性。例如,當分析人員想要搜索特定威脅時,可以使用環境是否感染SmoothOpreator的語句,而不需創建以入侵指標(IoC)形式的手動查詢,在此同時,指出Purple AI對數據搜集與網路安全領域的理解,使它能夠快速確定事件鏈,並向分析師總結出潛在的複雜威脅情況。
特別的是,台灣有安全企業更快發展生成式AI,並且早於上述公司。例如,前幾年參與MITRE ATT&CK評估計劃、受國際關注的奧義智能,於微軟Security Copilot發布後,在4月6日這天,該公司就宣布將推出「XCockpit」自動化安全威脅管理平台,並會導入AI虛擬分析助手於其中。
該平台不僅集成既有EDR與鑑識調查的產品,日後還將增加AD安全與ASM的功能模塊,更關鍵的是,他們強調,該平台是依循AI-Assistant-as-a-Service概念而打造,可構建AI自動化的事件應變流程,協助第一線SOC安全人員及安全團隊,讓事件處理精準度與速度大幅提升。而這個XCockpit平台,已在2023年7月上線。
趨勢科技對話式AI安全助手11月正式上線
2023年底,也就是最近一個多月以來,有更多安全大廠發布了相關消息,我們看到趨勢科技、思科、Fortinet都有應用生成式AI的進展。這也意味,其實還有更多廠商已經在進行,並且陸續對外發布,該新技術的應用漸成主流。
尤其是台灣出身發展到全球知名的趨勢科技,先是在2023年6月發布生成式AI安全助手Companion,7月提供部分客戶使用,並在11月27日正式推出Trend Companion,開放所有客戶使用。
因此,以正式推出時間來看,這個能以自然語言聊天的Trend Companion,甚至領先於更早預告的Google與微軟。
基本上,趨勢科技這項功能集成於自家Trend Vision One集成式安全平台,可通過自然語言的聊天接口提供服務,該助手不僅提供事件摘要與全面分析報告,還能解釋攻擊警報,關聯攻擊戰術與技巧,並清晰展示影響範圍。它還能將簡單語言轉換成正式的查詢語法,提高事件查詢的精準度。
值得注意的是,他們還提到令我們印象深刻的應用場景,那就是:幫助識別利用合法工具的寄生攻擊(LotL),例如,能解析一段PowerShell腳本的目的與運行,並產生人員能夠容易理解的解釋內容。
趨勢科技AI助手在2023年底正式上線
趨勢科技打造的Trend Vision One平台AI安全助手Trend Companion,2023年6月發布,在11月27日正式推出。根據他們展示的接口,這個AI助手不僅能夠提供事件摘要與分析報告,也可幫助快速分析攻擊腳本,並將結果以口語方式說明,讓安全人員與團隊更快了解威脅。圖片來源/趨勢科技
另一家網路與安全大廠思科,也有這方面的功能進展,我們在12月6日參加他們的墨爾本亞太區年度用戶大會時,看到他們現場發布全新AI助手Cisco AI Assistant,而且首先強調的應用場景是在防火牆規則管理,包括:可用自然語言簡化相關查詢與操作,並能主動提供規則分析,以及改進的建議,像是清除重複或多餘的規則,藉此強化企業防火牆管理,以降低防火牆規則因設置複雜可能帶來的安全風險與挑戰。
當時,我們看到這方面的實機展示,在Cisco Defense Orchestrator雲計算管理接口上,用戶可以叫出AI Assistant Beta版來對話,另外在Cisco防火牆管理中心接口上,也同樣能有此應用。思科表示,這個AI助理之後也將波及該公司旗下各產品線。
還有一家安全企業Fortinet,12月15日也宣布推出生成式AI助理,他們將此功能命名為Fortinet Advisor,並表示已在FortiSIEM、FortiSOAR產品開放公開預覽版、供用戶使用,其特色包含:可幫助解析安全威脅告警事件,提供事件分析摘要,其中將包含場景說明,以及潛在影響解釋的內容,並且提供緩解措施指南與回應Playbook的範本,並可用自然語言輸入提問,就能向Fortinet Advisor諮詢安全建議。
值得我們注意的是,綜觀Advisor這一命名,其實也意味著,生成式AI不只是化身助手,也可視為一個虛擬諮詢顧問般的存在。未來這項功能應用也將擴大,預計擴展至40多個AI驅動的解決方案。
思科展示用AI助理簡化網路防火牆規則管理
2023年12月6日思科披露AI助手機能,在思科Cisco Defense Orchestrator管理接口,將可叫出Cisco AI Assistant Beta的功能,以自然語言聊天方式,查詢防火牆政策,詢問如何創建防火牆安全策略,並快速獲得規則建議。攝影/羅正漢
已有研究顯示,安全研究人員正積極使用生成式AI
除了上述安全企業的動向,對於安全研究人員而言,在他們目前的工作領域,也呈現積極應用生成式AI的情況。
漏洞懸賞平台HackerOne於2023年10月,公布《黑客驅動安全報告(Hacker-Powered Security Report)》,調查結果特別列出幾個必須重視的態勢。他們發現有6成安全研究人員,正利用生成式AI(GenAI)來開發各種黑客工具,以用來發現更多的漏洞,也有66%的研究人員表示,正在或準備利用生成式AI來撰寫報告。
無論如何,用AI幫助安全早已是大勢所趨,生成式AI技術更是最新的利器。儘管現在只是這項技術爆發的第一年,還有很多進步空間與創新擴展,但我們可以預期的是,生成式AI安全的潛力相當被看重,尤其是能夠快速處理大量數據的能力,以及用自然語言進行交流的能力。
整體而言,隨著2024年的到來,企業可能要意識到,當生成式AI逐漸融入安全產品,預料將成為安全團隊未來的一份子,甚至期盼是企業安全的神隊友,但AI也將會讓那些沒有道德底線的攻擊者,發展更多自動化攻擊的武器,並且會讓社交工程問題加劇,這些新挑戰,我們同樣需要積極應對,因為,新的AI時代已經來臨。
