在當(dāng)今網(wǎng)絡(luò)安全威脅日益嚴(yán)峻的形勢下,安全運(yùn)營中心(SOC)肩負(fù)著重大責(zé)任���。然而��,SOC分析師往往人手不足����,工作繁重���。生成式人工智能(GenAI)的出現(xiàn)為緩解這一困境帶來了希望�,使初級(jí)安全分析師能夠擺脫繁瑣的分類和文檔工作���,將更多精力投入調(diào)查��、響應(yīng)和核心技能培養(yǎng)�����。
以下是已經(jīng)在全球SOC嶄露頭角的六大生成式人工智能應(yīng)用:
1.培訓(xùn)新員工
卡內(nèi)基梅隆大學(xué)教授Ben Moseley指出,培訓(xùn)新員工通常會(huì)占用資深分析師寶貴的時(shí)間�����。生成式人工智能助理可以快速回答新員工的提問����,幫助他們更快上手。
2.信息收集
Forescout Technologies是一家為企業(yè)客戶提供SOC服務(wù)的公司�����,同時(shí)也運(yùn)營著自己的SOC���。該公司允許生成式人工智能訪問客戶數(shù)據(jù)���,但僅限于Forescout構(gòu)建和控制的受限預(yù)覽。分析師還可以使用公共版本ChatGPT來處理不涉及客戶數(shù)據(jù)或公司機(jī)密信息的常規(guī)工作�。Forescout首席技術(shù)官JustinFoster表示,生成式人工智能的效率和便利性遠(yuǎn)超傳統(tǒng)搜索引擎�,并且能夠理解上下文,方便后續(xù)對(duì)話��。初級(jí)分析師可以直接查看潛在事件描述和行動(dòng)建議��,從而快速提升工作效率。
Foster強(qiáng)調(diào)��,生成式人工智能可以幫助自動(dòng)化初級(jí)分析師的任務(wù)��,讓他們騰出更多精力用于更高級(jí)別的威脅響應(yīng)活動(dòng)���。
3.定制化模型與安全控制
Forescout在私有實(shí)例中運(yùn)行定制模型�,以提高安全性并加強(qiáng)控制���。他們還通過API而不是讓分析師直接與模型對(duì)話的方式來設(shè)置防護(hù)措施。Foster表示��,他們選擇控制提問內(nèi)容并向用戶提供答案�,以此確保安全使用。這種方式更加便捷��,系統(tǒng)可以提前準(zhǔn)備好答案�,避免分析師需要自行剪切粘貼所需信息并編寫提示。
4.編寫腳本和摘要
Netskope是一家擁有全球SOC的公司��,可以24/7全天候監(jiān)控其內(nèi)部資產(chǎn)并響應(yīng)安全警報(bào)��。Netskope最初嘗試使用ChatGPT查找新威脅信息���,但很快發(fā)現(xiàn)其信息存在時(shí)效滯后的問題��。隨后�,他們將目光投向了生成式人工智能的其他功能,例如根據(jù)防火墻規(guī)則編寫訪問控制條目等�。
Netskope副首席信息安全官James Robinson表示,他們會(huì)為分析師制定使用指南�����,例如避免將敏感信息輸入ChatGPT�����。隨著技術(shù)的發(fā)展���,更安全的選擇陸續(xù)出現(xiàn)��,例如私有實(shí)例和API訪問�����。Robinson指出����,他們更信賴API提供的安全性保障。
5.幫助分析師快速了解威脅情報(bào)的最新動(dòng)態(tài)
例如使用Copilot來更新威脅行為體相關(guān)的信息��。Robinson認(rèn)為���,生成式人工智能可以幫助新入職分析師更快地創(chuàng)建威脅摘要�����,從而騰出更多時(shí)間進(jìn)行深入理解��。對(duì)于資深分析師而言���,生成式人工智能可以起到倍增器作用����,幫助他們更高效地完成工作。未來��,生成式人工智能甚至可以協(xié)助構(gòu)建自定義規(guī)則����、開展工程檢測并與其他系統(tǒng)集成。
6.審查合規(guī)政策
Insight是一家位于亞利桑那州的解決方案集成商����,在自身SOC中使用生成式人工智能�,也為企業(yè)提供相關(guān)咨詢服務(wù)����。他們的一項(xiàng)早期應(yīng)用案例是利用生成式人工智能審查合規(guī)政策并提出建議。
例如���,用戶可以詢問:“閱讀我所有的政策����,并告訴我根據(jù)現(xiàn)行監(jiān)管框架我應(yīng)該采取哪些措施���,以及我的政策與這些建議的差距有多大?”
Insight使用運(yùn)行在微軟Azure私有實(shí)例中的OpenAI����,結(jié)合可檢索增強(qiáng)型生成(RAG)技術(shù)訪問其數(shù)據(jù)存儲(chǔ)�。Taglienti強(qiáng)調(diào),提供正確的上下文并提出恰當(dāng)?shù)膯栴}����,將有助于生成式人工智能發(fā)揮最大效用。
生成式人工智能在SOC中的進(jìn)階應(yīng)用
生成式人工智能在SOC中的應(yīng)用前景非常廣闊,例如Secureworks多年來一直在使用各種形式的人工智能����,包括異常檢測、其他機(jī)器學(xué)習(xí)模型�,甚至神經(jīng)網(wǎng)絡(luò)。這些系統(tǒng)幫助Secureworks收集和優(yōu)先排序警報(bào)�����,使分析師能夠優(yōu)先處理最重要的警報(bào)����。在過去的18個(gè)月中,該公司將警報(bào)數(shù)量減少了80%����,分析師的工作量減少了50%���,使分析師能夠?qū)⒏鄷r(shí)間花在更困難的案件和服務(wù)新客戶上�����。
公司首席產(chǎn)品官凱爾·法爾肯哈根(Kyle Falkenhagen)表示:“我們的下一個(gè)關(guān)注領(lǐng)域是如何從分類�����、調(diào)查和響應(yīng)的角度改善分析師體驗(yàn)��。”生成式人工智能恰逢其時(shí)地登場����。
以下是生成式人工智能在SOC中的三大進(jìn)階應(yīng)用:
自動(dòng)化操作:安全專家們預(yù)測,生成式人工智能未來將能夠執(zhí)行操作�����,例如根據(jù)特定策略和漏洞數(shù)據(jù)庫(@MITRE等)創(chuàng)建標(biāo)準(zhǔn)操作流程�。
更高效的威脅響應(yīng):Secureworks公司已經(jīng)開發(fā)了插件,可以讓有用的數(shù)據(jù)輸入到人工智能系統(tǒng)中����。他們還在最近的一次黑客馬拉松活動(dòng)中測試了將生成式人工智能融入其編排引擎。該公司首席產(chǎn)品官KyleFalkenhagen表示��,生成式人工智能可以推理并采取必要步驟���,例如阻止用戶登錄�����、選擇合適的處置方案并調(diào)用API執(zhí)行操作�,而無需人工干預(yù)。
人才短缺與技能培養(yǎng):Falkenhagen認(rèn)為����,生成式人工智能的出現(xiàn)不會(huì)導(dǎo)致安全分析師崗位的消失,反而會(huì)讓他們將精力轉(zhuǎn)移到更高價(jià)值的活動(dòng)上�,例如調(diào)查、根因分析和威脅狩獵等���。他表示���,生成式人工智能可以幫助緩解當(dāng)前網(wǎng)絡(luò)安全人才短缺的困境,不但可以提高一線分析師的水平(接近二線)����,而且能夠成為分析師的顧問和技能培訓(xùn)師。
沃卡惠
