奥义智慧
用生成式AI帮助资安应用,不只是微软与Google的一举一动受广大关注,在迈向2024年之际,我们更是可以发现,已有几家台湾资安业者率先投入发展,并且实际端出可应用的产品。这不仅突显台湾资安业者的技术实力,也显示他们及早布局、持续关注之余,也累积实作经验,才能在技术浪潮的一开始,就有了相关成果与进展。
有哪些台湾业者行动最积极?早在2023年5月台湾资安大会,也就是微软预告推出Security Copilot没多久,知名资安新创奥义智慧就展示,将AI虚拟分析助手导入新的XCockpit平台,能提供中文案情摘要与处置建议,7月上线。
接下来是趋势科技,6月宣布Trend Vision One整合式资安平台,将提供自然语言聊天介面的AI助手Companion,7月开放部分客户使用,最近11月27日,已正式向所有客户开放这项应用。
另外,资安监控委外服务商安碁资讯在本月举行的年度媒体资安讲堂,也首度透露,他们要用ChatGPT帮助资安服务与资安工作,并制订3大发展方向,目前发展进度已达到7成。
显然,在许多资安业者都高喊AI资安,以及国际大厂陆续用生成式AI帮助资安之下,我们确实看到台湾已有资安业者,同样看好新技术带来的创新与机会,并在2023年已积极展开相关行动,未来2024年,我们也期盼更多台湾资安业者能够需与时俱进,善用特性以提升效率。毕竟,在骇客积极利用生成式AI的状况之下,如果国内资安业者没有善用AI自动化的做法,很有可能更无法跟上日益加剧的威胁态势。
基於厂商公开展示与揭露这些功能的时机都在2023年的条件限制,这次探讨AI资安的封面故事,我们特别选择奥义智慧、趋势科技、安碁资讯这3家业者,与他们一起探讨最新的发展态势。
与工作流程整合是关键,从解决用户问题的角度出发
关於用生成式AI帮助资安这件事,奥义智慧有很深刻的想法,该公司创办人邱铭彰特别说明了他们的发展策略。
他指出,应从解决前线人员问题的目标开始设想。因为,目前资安人员使用资安系统时,面对各种警示,通常会看到介面上有相当多的资料需要解读,因此,这里的最大挑战在於,未完成充足训练的人员根本看不懂,即便厂商培养这方面的人才,也很容易被挖角。
所以,现在如果能在资安领域善用生成式AI技术,可以快速产生事件摘要、建议措施,将能直接解决使用者的需求。更重要的是,可藉此大幅减少平均侦测时间(MTTD)、平均调查时间(MTTI),并且使事件本身的解读更有意义。
同时,这也将改变资安团队运作效率的量测。而在奥义智慧自家的XCockpit介面上,已经将这两项指标直接显示於首页仪表板,作为重要观测指标。
关於生成式AI在操作体验上带来的简化,其实我们陆续从各家厂商发展看到例子,并认为可能带来新的变革,像是可藉由一问一答方式查询,也能点击AI给出的建议按钮执行,还有AI自动建议通知的形式,让相关设定与操作变得更简化与不同。
邱铭彰也有同样看法,他认为,最大的变化就是发生在使用者体验,他预见资安系统UI介面将朝向更简洁发展,因为过往资安系统的介面很复杂,需要显示相当多的资料,但从用户角度而言,只要能够解决问题就好,这才是根本。
此见解可从奥义智慧展示的XCockpit平台介面得到印证,我们发现,当中并未特别设计自然语言输入的对话框。
邱铭彰表示,他们的工单管理系统已能自动整并案件,使用者只需要点击,就可以看到自动化调查的结果,包括手法、攻击来源与出建议等,即便一段Base 64编码的内容、命令列的指令内容的分析,也只要点击选项,就会提供简显易懂的说明。
他并以近期向客户展示的经验为例,当时他们进行红蓝队演练,AI资安系统可以做到「当侦测到攻击发生到哪,针对攻击的解说也就可以到哪」,这样的呈现方式彷佛游戏直播。
邱铭彰强调,现在很多业者的生成式AI应用,都是产生威胁情资的辅助说明,但整合在工作流程才是关键,并且要让生成式AI能做资安决策,并不只是单纯提供操作辅助,如同自驾车Level 2与Level 3的差异。他认为,这是台湾资安厂商发展AI功能时可以思考的方向。
如此看来,奥义智慧已设想将生成式AI与工作流程深度整合。不过,对於交由AI来进行决策,我们也忧心这麽做真的可行吗?邱铭彰表示,用於资安是可以的,但与人命相关的请不要交给AI。
另一个我们好奇的问题是:过往资安业者就已经在使用AI/ML模型,与生成式AI相比,究竟有何具体差异?
邱铭彰解释,以奥义智慧而言,他们过去开发三个AI小模型,以此来让案情分析做到更准确,第一个AI模型帮助挑出重要的事件,第二个AI模型可组成案情结构并将事件轴串起,第三个AI模型能将案情解说成中文并产生建议,而他们的CyCraftGPT,目前版本是基於可商用LLM模型Mistral而打造,当中还有以台湾习惯用语来训练。
总合而言,CyCraftGPT与先前AI模型的使用并不冲突,而是可以更好将多个AI模型的效果串联起来。
另外,邱铭彰也预测,不仅资安系统UI会朝向简洁设计,还会出现很多聊天机器人,这就如同ChatGPT服务,介面其实就只是对话框的形式,并没有复杂的UI设计。
他还透露,公司目前最想解决的两个问题:一是用於产品手册与说明书的查询;另一是国外资安情资新闻的汇整,这将能帮助资安长更好理解,也是改进资安服务的体验。
值得一提的是,在2023年底,奥义智慧也在日本资安大会SECCON发表适用於资安产业的AI评估标准,名为Adaptive Evaluation Security Guard(AESG),其作用为减缓大型语言模型相关风险,包括资料外泄、Prompt攻击、以及AI幻想等问题,以及确保他们另一项生成式检索增强(RAG)系统CyberSensei的可使用性及正确性。
建构高度弹性的介面,资安的新手、老手,以及资安长都可受益
很早就从台湾跃上国际资安舞台的趋势科技,他们的资安产品线可说是相当庞大,因此,他们在2021年就打造Trend Vision One整合式资安平台,当中以XDR为核心,并结合更多产品功能,随着2023年AI资安助手Trend Companion的推出,将能够带来哪些助益?
他们表示,Trend Companion是利用自然语言的聊天介面提供服务,这个AI助手可以带来很多帮助,不论是事件摘要与分析报告、解释攻击警报与关联攻击战术与技巧,并可清晰呈现影响范围等,还能帮助识别利用合法工具的寄生攻击(LotL),并产生让人员可以易於理解的解释内容。
同时,趋势科技也阐释了这些帮助所带来的效益,不仅是扩大并加速资安维运工作,更大意义就是,能够帮助每个不同角色,使得每个人都能有效利用趋势科技的服务,而其背後的关键就是,AI助手Trend Companion带来的高度弹性介面。
例如,不只是让资深分析师在面对复杂环境时,可以快速追踪威胁,也能为资安新进人员带来帮助,甚至无论是资安长或事件处理专员,每个人都将可以根据自己的需求,获取定制化的资讯。
由於生成式AI的特性,就是能够分析庞大的资料集,并能理解与摘要资讯的内容,还能产生新的内容,因此,趋势科技明确指出,生成式AI与传统AI/ML最大的差异,就是在於其高度的弹性和能力,以及用自然语言来接受命令和回答问题。
而这样的特性,对於处理资安事件尤其重要。因为这些事件,通常涉及广泛的知识和繁琐的查询工作,如今有了AI自动助手,将能快速生成查询脚本,解释复杂事件,并且调用LLM内部的知识,这将大幅提高使用者的工作效率。
对於不同AI技术的优势,趋势科技认为,以传统的机器学习(ML)而言,在准确性方面表现良好,主要用在侦测恶意程式方面,尤其对变种恶意程式;而生成式AI对於理解恶意程式的意图,以及威胁入侵事件处理,应用是更加合适。因此,他们预期,生成式AI资安的应用还会持续扩张。例如,未来在XDR平台的搭配之下,经过长时间的学习,将可对跨不同资安产品之间的事件,提供资安处理建议。
聚焦自动化工具开发,以及资安知识库与问题谘询的应用面
另一家资安监控委外服务商安碁资讯,其应用虽然不是针对资安产品面,但他们年底向台湾媒体揭露公司发展近况时,特别提到借助ChatGPT帮助资安服务与资安工作,预计发展三大方向。
该公司技术副总黄琼莹表示,这些面向分别是:自动化检测工具开发、资安文件知识库建立,以及资安实务问题谘询。上述应用的发展都将基於生成式AI,其核心为GPT-4,不过,因为这些用在公司内部,他先要强调遵循三大原则:「不输入公司内部敏感资讯」、「不输入客户相关机密资讯」、「不将对话用作大型语言模型的训练资料」。
关於具体应用场景,黄琼莹表示,以自动化工具开发为例,工程师在整理使用者开发需求时,可透过LLM协助,生成初步架构、程式码语法,有效降低沟通与开发成本。同时,LLM能协助撰写单元测试,降低正式运行时的错误发生率。
再者,LLM的应用有助於建立资安知识库,提升内容的正确性并减少编写弱点范本的时间;至於资安实务问题谘询的应用,由於LLM能分析客户提问,提供相关资讯,这将加速回应客户的速度。
不只是生成式AI技术,黄琼莹也提及公司应用其他AI技术的最新进展。他指出,深度学习与生成式AI的概念不同,生成式AI是有创作(造)力的,会依其训练模型而产出相对的资讯。
以安碁资讯2023年导入的Auto Encoder技术而言,此一深度学习是学习从输入到输出的复杂映射关系,并依此建立特定行为模型,当新资料输入将可判断与以往不同的行为;此外,2024年安碁资讯还将发展用AI引擎决策判断资安事件,可透过每月蒐集大量资料,结合现有已知资安事件的处理经验,进行监督式学习,其成果将是:仅需新接收到的特定日志纪录,即可由监督式学习的结果,判定是否为资安事件。
换言之,每个资安事件判定不需要都预先设计好规则,如此可降低人力的投入。此外,这些巨量资料也同样与机器学习结合,产生异常侦测、预测分析以及归类等模型,使其更具效率。这项AI引擎计画目前也已在进行中。
生成式AI资安应用也扩及开发人员
综观此一发展态势,不论是中小资安业者或是国际资安大厂,对於生成式AI资安的发展,已经找出适用面向并付诸行动,这些都会是相当重要的讯号。
对於其他台湾资安产业而言,应该也要设法积极采取行动。毕竟,当攻击者都在用生成式AI让攻击伎俩大幅进化,防御者若是完全没有任何想与因应动作,或是仍未察觉新技术所带来的各种改变,恐怕会面临相当危险的局面。
无论如何,过去几年我们在谈AI资安时,资安界期望在很多面向都能用AI来助攻,包括:内容过滤、未知漏洞检测、密码安全、恶意程式分析、异常侦测、钓鱼侦测、事件应变训练等。如今随着生成式AI的市场应用已然成形,也将带来更多应用发想。
尽管大家都知道,科技发展一直是双面刃,我们预期AI将升级既有威胁手法与破坏规模,或是带来新的威胁,但在许多防护层面的实践作为上,我们也能设法善用其特性,有机会做到更自动化的侦测,以及更快速的反应。
而且,AI能帮助资安的层面,不只是资安产业,软体开发领域也能受惠。像是提升开发人员写程式生产力的GitHub Copilot,在2023年就新增一项功能,是基於LLM的AI漏洞预防系统,能在开发者撰写程式码之际,避免写出不安全的程式码,这也是应用方式之一。
GitHub Copilot在2023年新增AI漏洞预防系统
关於GitHub Copilot,是由GitHub与OpenAI合作打造,在2021年发表预览版,主打用AI帮忙写程式,并在2022年6月正式推出。
到了2023年2月GitHub更是公布多项新进展,不只是加速开发人员撰写程式,最特别的一点,新加入了基於AI的漏洞预防系统(Vulnerability prevention system),可利用LLM来达到静态分析工具的行为,其作用在於,可及时阻挡不安全程式码的写法,包括帐号密码写死(hardcoded credentials)、SQL注入与路径注入等。GitHub认为,这种作法将在解决漏洞问题上,带来相当大的价值,可以改变开发人员处理漏洞的方法。
原因在於,传统的漏洞分析工具,是在Build或发布前才使用,而GitHub Copilot则会在开发阶段,於编辑器执行漏洞侦测。我们可以看到,这样的概念,显然与资安界近年常提到的Shift Left安全方法,有相同的涵意,可以更从源头帮助开发者写出更安全的程式码,这应该也是GitHub将此视为重大改变的原因。
相关报导