為什么說大語言模型是網(wǎng)絡安全運營的一次革命?安全大語言模型到底能不能打？怎么打？

網(wǎng)絡安全是人工智能最大的細分市場，而安全運營則是生成式人工智能最熱門的應用領域之一。以ChatGPT為代表的，基于大語言模型的生成式人工智能技術可極大提高威脅分析師、威脅獵人和安全運營中心(SOC)員工的學習和工作效率，這也是網(wǎng)絡安全廠商爭先恐后“跳坑”網(wǎng)絡安全大語言模型工具的主要動力。

為了滿足企業(yè)風險管理和信息保密方面的需求，網(wǎng)絡安全巨頭們紛紛發(fā)布了針對企業(yè)網(wǎng)絡安全管理的“安全大語言模型”，例如谷歌(Google Cloud Security AI Workbench)、微軟(Microsoft Security Copilot)、Mostly AI、Recorded Future、SecurityScorecard、SentinelOne、Veracode、ZeroFox和Zscaler等。

以ChatGPT為代表的AI大語言模型可通過以下10種方式幫助安全運營團隊加強網(wǎng)絡防御，抵御包括勒索軟件在內(nèi)的攻擊(2022年勒索軟件攻擊暴增了40%)。

1.檢測工程

檢測工程以實時安全威脅檢測和響應為基礎。運行試點項目的CISO們表示，安全運營團隊可以檢測、響應并讓大語言模型從真實的警報和誤報數(shù)據(jù)中學習。事實證明，ChatGPT在自動化基線檢測工程任務方面非常有效，使安全運營團隊能夠騰出時間來調(diào)查更復雜的警報模式。

2.大規(guī)模改善事件響應

試點ChatGPT解決方案的一位CISO透露，他們的概念驗證(PoC)結果表明，供應商提供的測試平臺能提供事件響應的可操作、準確的指導。

但是在最復雜的測試場景中，ChatGPT仍然會出現(xiàn)“AI幻覺”。這意味著支持ChatGPT的大語言模型必須保持上下文引用的準確性?！斑@對我們的PoC來說是一個巨大的挑戰(zhàn)。ChatGPT解決方案在基線事件響應方面表現(xiàn)良好，但是上下文深度越深，安全運營團隊就越需要訓練模型?！?/span>

ChatGPT在自動執(zhí)行重復事件響應任務方面表現(xiàn)良好，這為以前必須手動執(zhí)行這些任務的安全運營團隊成員節(jié)省了大量時間。

3.大規(guī)模簡化SOC運營，減輕分析師負擔

一家領先的保險和金融服務公司正在ChatGPT上運行PoC測試，以了解它是否能通過自動分析網(wǎng)絡安全事件并提出即時和長期響應建議來幫助減輕安全運營中心分析師的負擔。SOC分析師也在測試ChatGPT是否可以提供各種腳本的風險評估和建議。他們還了測試ChatGPT為IT、安全團隊和企業(yè)員工提供安全策略和建議方面的有效性。此外，ChatGPT在員工培訓方面也有巨大的應用潛力。

4.實時可見性和漏洞管理

VentureBest采訪的幾位CISO表示，提高SOC中各種不同工具的可見性是當務之急，但實現(xiàn)這一目標具有挑戰(zhàn)性。ChatGPT可接受實時數(shù)據(jù)培訓來提供實時漏洞報告，并列出企業(yè)網(wǎng)絡資產(chǎn)中所有已知和檢測到的威脅或漏洞。

經(jīng)過相應數(shù)據(jù)訓練后，大語言模型可提供實時漏洞報告，并按漏洞的風險級別、行動建議和嚴重性級別進行排名。

5.提高威脅情報的準確性、可用性和背景信息

事實證明，ChatGPT基于對整個企業(yè)網(wǎng)絡監(jiān)控數(shù)據(jù)的實時分析，并結合大語言模型不斷創(chuàng)建的知識庫，可以有效地預測潛在威脅和入侵場景。一位運行ChatGPT試點的CISO表示，目標是測試系統(tǒng)是否能夠區(qū)分誤報和實際威脅。

到目前為止，該試點最有價值的發(fā)現(xiàn)是：大語言模型能夠分析企業(yè)內(nèi)生的大量威脅情報數(shù)據(jù)，然后為SOC分析師提供情境化、實時見解。

6.優(yōu)化安全配置

網(wǎng)絡安全和威脅檢測系統(tǒng)的手動錯誤配置是造成數(shù)據(jù)泄露的主要原因之一。很多企業(yè)對ChatGPT能否分析數(shù)據(jù)泄露指標(IoC)，幫助識別和建議配置改進感興趣。

企業(yè)希望ChatGPT能給出微調(diào)安全配置的最佳建議，以最大限度地減少誤報。

7.減少誤報

誤報率居高不下是網(wǎng)絡安全運營的頭號難題，也是CISO、CIO熱衷于評估評估安全大語言模型的的原因之一。多項研究表明，SOC分析師浪費了大量時間處理最終被證明是誤報的警報。Invicti的調(diào)查發(fā)現(xiàn)，企業(yè)SOC每年平均花費1萬小時和50萬美元來驗證不可靠的漏洞警報。ESG的一項調(diào)查發(fā)現(xiàn)，Web應用程序和API安全工具每天平均生成53個警報，其中45%是誤報。

一位在多個SOC進行試點的CISO表示，迄今為止最重要的結果是：ChatGPT這樣的生成式AI可以大幅減少處理誤報所浪費的時間。

8.更徹底、準確、安全的代碼分析

網(wǎng)絡安全研究人員正在不斷測試大語言模型處理更復雜的安全代碼分析任務的能力。Victor Sergeev最近發(fā)表了一項更全面的測試：“ChatGPT成功識別了可疑的服務安裝，沒有出現(xiàn)誤報。ChatGPT準確判斷出一段代碼被用來禁用Windows系統(tǒng)上的日志記錄或其他安全措施?！?/span>

Sergeev還使用Meterpreter和PowerShell Empire代理感染了目標系統(tǒng)，并模擬了一些典型的對手程序。對目標系統(tǒng)執(zhí)行掃描后，ChatGPT成功地從137個同時運行的良性進程中識別出兩個惡意進程，沒有出現(xiàn)任何誤報。

9.改進SOC標準化和治理，改善安全態(tài)勢

CISO表示，與在技術層面提高各種安全工具的可見性同樣重要的是，大語言模型有望提高SOC流程的標準化，使其能夠適應安全環(huán)境變化，這是一種非常關鍵的安全運營能力。

10.自動化SIEM查詢和SOC操作腳本

安全信息和事件管理(SIEM)查詢對于分析來自不同數(shù)據(jù)源的實時事件日志數(shù)據(jù)并識別異常行為至關重要，這也是生成式AI在網(wǎng)絡安全領域的理想用例。

一家大型金融服務公司的SOC分析師表示，SIEM查詢占據(jù)了她工作量的30%，并正在持續(xù)增長，而基于大語言模型的自動化創(chuàng)建和更新每周將至少節(jié)省一天半的時間。

總結：

網(wǎng)絡安全的大語言模型革命才剛剛開始

2023年下半年將有更多基于大語言模型的網(wǎng)絡安全平臺問世，熱點將是簡化SOC安全運營，并縮小身份和端點的安全差距。來自網(wǎng)絡和端點的數(shù)據(jù)將是推動大語言模型訓練和創(chuàng)新的主要動力。

企業(yè)安全團隊可以通過人工智能增強的持續(xù)學習形成“肌肉記憶”來適應、響應安全事件，并在攻擊得手之前將其遏制。

文章來源：GoUpSec