奧義智慧
用生成式AI幫助資安應用,不只是微軟與Google的一舉一動受廣大關注,在邁向2024年之際,我們更是可以發現,已有幾家臺灣資安業者率先投入發展,並且實際端出可應用的產品。這不僅突顯臺灣資安業者的技術實力,也顯示他們及早布局、持續關注之餘,也累積實作經驗,才能在技術浪潮的一開始,就有了相關成果與進展。
有哪些臺灣業者行動最積極?早在2023年5月臺灣資安大會,也就是微軟預告推出Security Copilot沒多久,知名資安新創奧義智慧就展示,將AI虛擬分析助手導入新的XCockpit平臺,能提供中文案情摘要與處置建議,7月上線。
接下來是趨勢科技,6月宣布Trend Vision One整合式資安平臺,將提供自然語言聊天介面的AI助手Companion,7月開放部分客戶使用,最近11月27日,已正式向所有客戶開放這項應用。
另外,資安監控委外服務商安碁資訊在本月舉行的年度媒體資安講堂,也首度透露,他們要用ChatGPT幫助資安服務與資安工作,並制訂3大發展方向,目前發展進度已達到7成。
顯然,在許多資安業者都高喊AI資安,以及國際大廠陸續用生成式AI幫助資安之下,我們確實看到臺灣已有資安業者,同樣看好新技術帶來的創新與機會,並在2023年已積極展開相關行動,未來2024年,我們也期盼更多臺灣資安業者能夠需與時俱進,善用特性以提升效率。畢竟,在駭客積極利用生成式AI的狀況之下,如果國內資安業者沒有善用AI自動化的做法,很有可能更無法跟上日益加劇的威脅態勢。
基於廠商公開展示與揭露這些功能的時機都在2023年的條件限制,這次探討AI資安的封面故事,我們特別選擇奧義智慧、趨勢科技、安碁資訊這3家業者,與他們一起探討最新的發展態勢。
與工作流程整合是關鍵,從解決用戶問題的角度出發
關於用生成式AI幫助資安這件事,奧義智慧有很深刻的想法,該公司創辦人邱銘彰特別說明了他們的發展策略。
他指出,應從解決前線人員問題的目標開始設想。因為,目前資安人員使用資安系統時,面對各種警示,通常會看到介面上有相當多的資料需要解讀,因此,這裡的最大挑戰在於,未完成充足訓練的人員根本看不懂,即便廠商培養這方面的人才,也很容易被挖角。
所以,現在如果能在資安領域善用生成式AI技術,可以快速產生事件摘要、建議措施,將能直接解決使用者的需求。更重要的是,可藉此大幅減少平均偵測時間(MTTD)、平均調查時間(MTTI),並且使事件本身的解讀更有意義。
同時,這也將改變資安團隊運作效率的量測。而在奧義智慧自家的XCockpit介面上,已經將這兩項指標直接顯示於首頁儀表板,作為重要觀測指標。
關於生成式AI在操作體驗上帶來的簡化,其實我們陸續從各家廠商發展看到例子,並認為可能帶來新的變革,像是可藉由一問一答方式查詢,也能點擊AI給出的建議按鈕執行,還有AI自動建議通知的形式,讓相關設定與操作變得更簡化與不同。
邱銘彰也有同樣看法,他認為,最大的變化就是發生在使用者體驗,他預見資安系統UI介面將朝向更簡潔發展,因為過往資安系統的介面很複雜,需要顯示相當多的資料,但從用戶角度而言,只要能夠解決問題就好,這才是根本。
此見解可從奧義智慧展示的XCockpit平臺介面得到印證,我們發現,當中並未特別設計自然語言輸入的對話框。
邱銘彰表示,他們的工單管理系統已能自動整併案件,使用者只需要點擊,就可以看到自動化調查的結果,包括手法、攻擊來源與出建議等,即便一段Base 64編碼的內容、命令列的指令內容的分析,也只要點擊選項,就會提供簡顯易懂的說明。
他並以近期向客戶展示的經驗為例,當時他們進行紅藍隊演練,AI資安系統可以做到「當偵測到攻擊發生到哪,針對攻擊的解說也就可以到哪」,這樣的呈現方式彷彿遊戲直播。
邱銘彰強調,現在很多業者的生成式AI應用,都是產生威脅情資的輔助說明,但整合在工作流程才是關鍵,並且要讓生成式AI能做資安決策,並不只是單純提供操作輔助,如同自駕車Level 2與Level 3的差異。他認為,這是臺灣資安廠商發展AI功能時可以思考的方向。
如此看來,奧義智慧已設想將生成式AI與工作流程深度整合。不過,對於交由AI來進行決策,我們也憂心這麼做真的可行嗎?邱銘彰表示,用於資安是可以的,但與人命相關的請不要交給AI。
另一個我們好奇的問題是:過往資安業者就已經在使用AI/ML模型,與生成式AI相比,究竟有何具體差異?
邱銘彰解釋,以奧義智慧而言,他們過去開發三個AI小模型,以此來讓案情分析做到更準確,第一個AI模型幫助挑出重要的事件,第二個AI模型可組成案情結構並將事件軸串起,第三個AI模型能將案情解說成中文並產生建議,而他們的CyCraftGPT,目前版本是基於可商用LLM模型Mistral而打造,當中還有以臺灣習慣用語來訓練。
總合而言,CyCraftGPT與先前AI模型的使用並不衝突,而是可以更好將多個AI模型的效果串聯起來。
另外,邱銘彰也預測,不僅資安系統UI會朝向簡潔設計,還會出現很多聊天機器人,這就如同ChatGPT服務,介面其實就只是對話框的形式,並沒有複雜的UI設計。
他還透露,公司目前最想解決的兩個問題:一是用於產品手冊與說明書的查詢;另一是國外資安情資新聞的彙整,這將能幫助資安長更好理解,也是改進資安服務的體驗。
值得一提的是,在2023年底,奧義智慧也在日本資安大會SECCON發表適用於資安產業的AI評估標準,名為Adaptive Evaluation Security Guard(AESG),其作用為減緩大型語言模型相關風險,包括資料外洩、Prompt攻擊、以及AI幻想等問題,以及確保他們另一項生成式檢索增強(RAG)系統CyberSensei的可使用性及正確性。
奧義智慧推資安新平臺,將AI虛擬分析師融合到資安事件的處理流程
臺灣資安新創奧義智慧今年7月正式推出XCockpit平臺,當中內建AI虛擬分析助手應用,強調工作流程才是關鍵,可做到自動化案件管理,AI自動化鑑識,以及提供建議措施,直接解決使用者的需求。這也大幅減少平均偵測時間(MTTD)、平均調查時間(MTTI),讓資安團隊運作可量測且更有效率。圖片來源/奧義智慧
XCockpit平臺上的AI虛擬分析師,能提供中文案情摘要,也能針對一段Base 64編碼、命令列的指令內容分析,並提供處置建議。圖片來源/奧義智慧
建構高度彈性的介面,資安的新手、老手,以及資安長都可受益
很早就從臺灣躍上國際資安舞臺的趨勢科技,他們的資安產品線可說是相當龐大,因此,他們在2021年就打造Trend Vision One整合式資安平臺,當中以XDR為核心,並結合更多產品功能,隨著2023年AI資安助手Trend Companion的推出,將能夠帶來哪些助益?
他們表示,Trend Companion是利用自然語言的聊天介面提供服務,這個AI助手可以帶來很多幫助,不論是事件摘要與分析報告、解釋攻擊警報與關聯攻擊戰術與技巧,並可清晰呈現影響範圍等,還能幫助識別利用合法工具的寄生攻擊(LotL),並產生讓人員可以易於理解的解釋內容。
同時,趨勢科技也闡釋了這些幫助所帶來的效益,不僅是擴大並加速資安維運工作,更大意義就是,能夠幫助每個不同角色,使得每個人都能有效利用趨勢科技的服務,而其背後的關鍵就是,AI助手Trend Companion帶來的高度彈性介面。
例如,不只是讓資深分析師在面對複雜環境時,可以快速追蹤威脅,也能為資安新進人員帶來幫助,甚至無論是資安長或事件處理專員,每個人都將可以根據自己的需求,獲取定制化的資訊。
由於生成式AI的特性,就是能夠分析龐大的資料集,並能理解與摘要資訊的內容,還能產生新的內容,因此,趨勢科技明確指出,生成式AI與傳統AI/ML最大的差異,就是在於其高度的彈性和能力,以及用自然語言來接受命令和回答問題。
而這樣的特性,對於處理資安事件尤其重要。因為這些事件,通常涉及廣泛的知識和繁瑣的查詢工作,如今有了AI自動助手,將能快速生成查詢腳本,解釋複雜事件,並且調用LLM內部的知識,這將大幅提高使用者的工作效率。
對於不同AI技術的優勢,趨勢科技認為,以傳統的機器學習(ML)而言,在準確性方面表現良好,主要用在偵測惡意程式方面,尤其對變種惡意程式;而生成式AI對於理解惡意程式的意圖,以及威脅入侵事件處理,應用是更加合適。因此,他們預期,生成式AI資安的應用還會持續擴張。例如,未來在XDR平臺的搭配之下,經過長時間的學習,將可對跨不同資安產品之間的事件,提供資安處理建議。
趨勢科技推AI助手,讓多種角色都能易於使用
資安大廠趨勢科技在Trend Vision One平臺上,加入Trend Companion這項AI助手功能,以說明以自然語言的聊天介面提供服務的好處,可讓資深的資安專家、剛入行的新手、資安長還是事件處理專員,這些不同角色都可根據自己的需求,獲取定制化的資訊,這種高度彈性的介面,將使每個人都能有效利用他們的服務。圖片來源/趨勢科技
在Trend Vision One平臺的介面上,設計了Companion可解釋命令列的功能選項,可解析一段PowerShell腳本的目的與運作,幫助識別利用合法工具的寄生攻擊(LotL)。圖片來源/趨勢科技
聚焦自動化工具開發,以及資安知識庫與問題諮詢的應用面
另一家資安監控委外服務商安碁資訊,其應用雖然不是針對資安產品面,但他們年底向臺灣媒體揭露公司發展近況時,特別提到借助ChatGPT幫助資安服務與資安工作,預計發展三大方向。
該公司技術副總黃瓊瑩表示,這些面向分別是:自動化檢測工具開發、資安文件知識庫建立,以及資安實務問題諮詢。上述應用的發展都將基於生成式AI,其核心為GPT-4,不過,因為這些用在公司內部,他先要強調遵循三大原則:「不輸入公司內部敏感資訊」、「不輸入客戶相關機密資訊」、「不將對話用作大型語言模型的訓練資料」。
關於具體應用場景,黃瓊瑩表示,以自動化工具開發為例,工程師在整理使用者開發需求時,可透過LLM協助,生成初步架構、程式碼語法,有效降低溝通與開發成本。同時,LLM能協助撰寫單元測試,降低正式運行時的錯誤發生率。
再者,LLM的應用有助於建立資安知識庫,提升內容的正確性並減少編寫弱點範本的時間;至於資安實務問題諮詢的應用,由於LLM能分析客戶提問,提供相關資訊,這將加速回應客戶的速度。
不只是生成式AI技術,黃瓊瑩也提及公司應用其他AI技術的最新進展。他指出,深度學習與生成式AI的概念不同,生成式AI是有創作(造)力的,會依其訓練模型而產出相對的資訊。
以安碁資訊2023年導入的Auto Encoder技術而言,此一深度學習是學習從輸入到輸出的複雜映射關係,並依此建立特定行為模型,當新資料輸入將可判斷與以往不同的行為;此外,2024年安碁資訊還將發展用AI引擎決策判斷資安事件,可透過每月蒐集大量資料,結合現有已知資安事件的處理經驗,進行監督式學習,其成果將是:僅需新接收到的特定日誌紀錄,即可由監督式學習的結果,判定是否為資安事件。
換言之,每個資安事件判定不需要都預先設計好規則,如此可降低人力的投入。此外,這些巨量資料也同樣與機器學習結合,產生異常偵測、預測分析以及歸類等模型,使其更具效率。這項AI引擎計畫目前也已在進行中。
安碁資訊看好ChatGPT應用,聚焦三大發展面向
對於ChatGPT的應用,資安監控委外服務商安碁資訊同樣看重相關效益,該公司在2023年12月揭露他們聚焦三大方向,包括:自動化檢測工具開發、資安文件知識庫建立,以及資安實務問題諮詢。例如,應用LLM建立資安知識庫,將提升內容的正確性,同時也能減少編寫弱點範本的時間。他們並表示,這些項目都已經在進行,目前完成度大約是7成。攝影/羅正漢
生成式AI資安應用也擴及開發人員
綜觀此一發展態勢,不論是中小資安業者或是國際資安大廠,對於生成式AI資安的發展,已經找出適用面向並付諸行動,這些都會是相當重要的訊號。
對於其他臺灣資安產業而言,應該也要設法積極採取行動。畢竟,當攻擊者都在用生成式AI讓攻擊伎倆大幅進化,防禦者若是完全沒有任何想與因應動作,或是仍未察覺新技術所帶來的各種改變,恐怕會面臨相當危險的局面。
無論如何,過去幾年我們在談AI資安時,資安界期望在很多面向都能用AI來助攻,包括:內容過濾、未知漏洞檢測、密碼安全、惡意程式分析、異常偵測、釣魚偵測、事件應變訓練等。如今隨著生成式AI的市場應用已然成形,也將帶來更多應用發想。
儘管大家都知道,科技發展一直是雙面刃,我們預期AI將升級既有威脅手法與破壞規模,或是帶來新的威脅,但在許多防護層面的實踐作為上,我們也能設法善用其特性,有機會做到更自動化的偵測,以及更快速的反應。
而且,AI能幫助資安的層面,不只是資安產業,軟體開發領域也能受惠。像是提升開發人員寫程式生產力的GitHub Copilot,在2023年就新增一項功能,是基於LLM的AI漏洞預防系統,能在開發者撰寫程式碼之際,避免寫出不安全的程式碼,這也是應用方式之一。
GitHub Copilot在2023年新增AI漏洞預防系統
關於GitHub Copilot,是由GitHub與OpenAI合作打造,在2021年發表預覽版,主打用AI幫忙寫程式,並在2022年6月正式推出。
到了2023年2月GitHub更是公布多項新進展,不只是加速開發人員撰寫程式,最特別的一點,新加入了基於AI的漏洞預防系統(Vulnerability prevention system),可利用LLM來達到靜態分析工具的行為,其作用在於,可及時阻擋不安全程式碼的寫法,包括帳號密碼寫死(hardcoded credentials)、SQL注入與路徑注入等。GitHub認為,這種作法將在解決漏洞問題上,帶來相當大的價值,可以改變開發人員處理漏洞的方法。
原因在於,傳統的漏洞分析工具,是在Build或發布前才使用,而GitHub Copilot則會在開發階段,於編輯器執行漏洞偵測。我們可以看到,這樣的概念,顯然與資安界近年常提到的Shift Left安全方法,有相同的涵意,可以更從源頭幫助開發者寫出更安全的程式碼,這應該也是GitHub將此視為重大改變的原因。
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-22