今年RSA会议上,几个主要厂商的演讲都在讨论生成式AI对行业的影响,如Microsoft、Google、Cisco、Paloalto 。Microsoft 安全业务VP Vasu Jakkal 拿出她2022年演讲时对AI在安全运营中应用时间表,当时她认为走到里程碑最右侧需要4-5年的时间,但当前生成式AI的进展让她更新了这个时间表,也许1-2年内可以到达最右端。同时其它厂商也是充分展现了其乐观估计。

在CharGPT引燃的新一轮AI热潮中,安全厂商可以说是其中最积极的一类。安全行业近些年一些深切的痛点,似乎都看到了进一步的解决方案,如:缺少集成和自动化带来的工作过载;业务面扩展后攻击面放大带来的威胁过载(比报警过载也许更准确);以及行业中持久存在的中高端分析/影响人才短缺的问题。厂商投入的积极性自不待言,从具体场景看:开发安全、情报运营、报警&样本分析、威胁狩猎、攻击链分析、响应处置、事件总结,几乎安全中最重要的场景我们都看到了LLM的身影。更宏观的角度看,LLM不但可以帮助L1层级的分析师在工作中学习专业的知识,更可以学习高级分析师的思路和经验,成为模型的能力。

这些安全厂商还有一个一致的认识,要实现上述场景的价值,单有模型是远远不够的。数据、模型、专家经验&威胁情报,需要整合这些最基本的力量,才能够达成目的。也就是说,生成式AI发展给安全行业带来的机遇,是延续性的,需要安全厂商在上一阶段的平台化产品、自动化编排、情报驱动的威胁狩猎等方面构建坚实的基础,才能够利用这次的机遇形成更大跨越。

这里面提到的数据,不是传统SIEM中的常规日志数据,而是高保真、高质量的遥测数据,跨域的遥测数据整合到XDR平台,这是AI在检测分析方向发挥作用的基础。Cisco在其keynote中重点谈论了这个问题,揭示了其抛弃传统的SIEM思路,投身XDR方向的底层逻辑。同时我们在这次RSA也得到信息,接近半数的CSO依然将SIEM,而不是EDR/NDR/XDR作为安全分析的优先事项。他们尚没有意识到,传统日志型数据在数字化&AI时代的问题:它们不是为规模化分析准备、保真度差同时需要更多的存储空间。

这其中的威胁情报,重点也不是当前使用已经比较广泛的各种战术类情报,而是更能反应攻击者技术、方法、意图等的作战情报。正如CrowdStrike在其最近的安全态势报告中表明的,越来越多的攻击者会使用合法的管理、运维工具来实施渗透,这种背景下只有建立TTP层面的威胁狩猎能力才能保障对攻击的可见性。而这种狩猎能力,建立在对新的TTP的快速跟进基础上;利用AI在数据中产生洞见,要依赖人提供给其洞见的能力,而它去完成后续的常规操作动作。同样的在事件遏制、防扩散、清除加固等环节,LLM也需要从人哪里去学习处置的经验和知识。

综合看,当前AI技术的发展对行业整体是有利的,但是这个机会最终还是只会落给有准备、对趋势有真正理解的厂商和企业哪里。如果一个厂商在数据和情报能力上没有坚实的基础、一个企业在趋势下不能调整自己的建设思路来适应时代。那么我们看到的可能是,攻击者在AI的加持下渗透能力越发强大,而没有做出及时改变和调整的企业成为整个网络的薄弱点,越发被攻击者关注和青睐。时代大潮之下,强者愈强,变者恒强。

声明:本文来自ZenMind,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。