◎代理經銷:白象文化
掌握近期企業重大資安事故以及資安防禦觀念,有助於企業了解即將面對的各種挑戰以及如何因應。
作者簡介:
◎iThom電腦報週刊長期報導企業資訊應用與技術發展,每年在臺舉辦臺灣資訊安全大會、臺灣雲端大會等大型技術研討會。
章節試閱
◎這些年網路威脅加劇,資安人力卻總是補不滿,如何翻轉攻防不對稱的局勢是資安發展重心,而AI應用正是大家期待已久的技術。
回顧2023年生成式AI應用成形與爆發,資安界憂心攻擊者的技術門檻大幅降低,能發動更大規模且複雜的攻擊。但是,水能覆舟,亦能載舟,生成式AI同樣有助於資安,催生出新的防護作法。
儘管通用生成式AI問題持續受探討,AI監理規範也正持續發展,像是建立AI風險驗測方法,評估AI生命週期的資訊與資料安全需求,以及2023年下半的種種指引與立法,雖然確保生成式AI的安全性很重要,不過,鎖定領域專屬的局部應用,也已經是重要的發展方向。
基本上,資安業者採用AI/ML提升本身產品與服務的能力,早就已經不是新鮮事,甚至越來越多廠商強調,他們發展的資安解決方案要以AI為中樞,而在GPT-4、PaLM 2、Llama 2等多個大型語言模型(LLM)引領之下,不僅帶動當前的生成式AI興起,也再次掀起AI資安浪潮。
因此,這一年來生成式AI的應用,不僅微軟與Google的一舉一動備受熱烈關注,許多資安大廠發展與導入的態度也很積極,令人驚喜的是,臺灣多家資安業者也不落人後。
在2024年可以預見的是,對於資安領域而言,生成式AI可望帶來完全不同的新面貌,而且,也有許多資安專家盼望,這樣的技術,能夠成為資安人員因應威脅的救星,幫助縮短攻防不對稱的嚴峻態勢。
因此不論企業規模大小,勢必都要了解當前的生成式AI發展概況,才能更好設想未來如何提升資安防護。
早在2014年,我們就看到美國一家名為Tanium的新創公司,發展資安軟體結合自然語言,使用者透過口語化文字輸入提問,就能盤查企業電腦網路。到了2016年,對話機器人(Chatbot)開始步入主流,但當時仍處於自然語言理解階段,還需改進對話管理與自然語言生成;在2018年,GPT-1誕生,促成新一波AI應用。
到了2023年,基於LLM的生成式AI技術不僅爆紅,其資安領域上的應用潛力,也有目共睹。
首先,在2023年3月29日這一天,微軟發表整合GPT-4大型語言模型的Security Copilot,目標是協助資安人員完成相關工作,相隔一個月之後,Google發布整合自家Sec-PaLM大型語言模型的Security AI Workbench平臺。
這些產品新功能的預告,意味著新時代來臨──將生成式AI技術整合至各種資安產品和服務。
接下來幾個月,這兩家大廠宣布將生成式AI的技術,擴大至眾多產品線。以雲端服務為例,像是Microsoft 365 Copilot、Duet AI for Google Workspace等,而這些輔助生產力工具的AI助理,吸引許多用戶目光。在端點裝置,例如個人電腦與手機,微軟針對Windows系統,預計提供Copilot in Windows輔助功能,最新Google Pixel手機的相片魔術橡皮擦、提高解析度功能,背後也是導入了生成式AI。
更重要的是,還有各式資安產品,也都將擁抱這股新浪潮,包括微軟的Microsoft Defender XDR、Sentinel、Intune,以及Google的Chronicle等。
究竟生成式AI的出現,會讓各類資安產品帶來哪些改變?
以微軟為例,在2023年11月公布的Microsoft Defender XDR預覽版當中,企業將可藉助嵌入的Security Copilot功能,達到多項應用效益,例如:不需撰寫複雜的查詢指令,可節省時間並減少發生錯誤的機率,可幫助快速摘要事件、分析腳本與程式碼,能提供引導式回應機制,幫助操作人員對事件採取動作,同時,還能用自然語言產生Kusto查詢語言(KQL),以及能夠讓撰寫事件報告的作業變得更有效率。
而且,幾日之後,微軟接續發出預告,表明將會整合Microsoft Defender XDR/Sentinel及Security Copilot,放置在同一個管理平臺。
Google在12月也宣布Duet AI in Security Operations正式上線,這是適用於資安維運的生成式AI助理,供所有Chronicle用戶使用,可簡化威脅偵測並給予回應,協助歸納與分類威脅資訊,將自然語言輸入轉換為查詢指令並執行複雜分析,提供案例資料與警報的自動摘要,以及提供後續步驟建議,以改善事件回應時間等。
同時Google還預告,未來幾週,所有的Duet AI服務,都將包含新的多模態模型Gemini,這也顯示出,近年生成式AI能力與日俱增,其技術水準正在快速提升與進步。
不只是微軟與Google,事實上,在那段期間,短短幾個月之內,有多家資安廠商紛紛跟上這股風潮,顯然都是看重生成式AI在資安應用的潛力與優勢。
如微軟一發表Security Copilot之後,網路威脅情報業者Recorded Future的動作很迅速,在2023年4月11日宣布,在自家的網路威脅情資(CTI)平臺整合OpenAI GPT,他們強調可藉此幫助企業整理龐大資料,並且緩解網路安全技能短缺的情形。
接著,是資安風險管理業者Security Scorecard,他們在4月25日宣布,其服務將整合OpenAI的GPT-4,可用自然語言回答網路風險問題,像是:找出評分最低的10家供應商,顯示過去一年有哪些重要供應商遭入侵等,讓用戶在風險管理決策上可以更有效率,並可針對需要優先處理的網路安全風險,提出緩解的建議。
另一家資安業者SentinelOne也選在此時跟進,在4月26日公布整合生成式AI的Purple AI,強調對話式AI可以讓威脅獵捕變得容易,讓威脅分析變得簡單,當中說明Purple AI的應用特性。像是分析人員想搜尋特定威脅時,可輸入環境是否感染SmoothOpreator的語句,而不需建立以入侵指標(IoC)形式的手動查詢,在此同時,指出Purple AI對資料蒐集與網路安全領域的理解,使它能夠快速確定事件鏈,並向分析師總結出潛在的複雜威脅情況。
特別的是,臺灣有資安業者更快發展生成式AI,並且早於上述公司。例如,前幾年參與MITRE ATT&CK評估計畫、受國際關注的奧義智慧,於微軟Security Copilot發表後,在4月6日這天,該公司就宣布將推出「XCockpit」自動化資安威脅管理平臺,並會導入AI虛擬分析助手於其中。
該平臺不僅整合既有EDR與鑑識調查的產品,日後還將增加AD安全與ASM的功能模組,更關鍵的是,他們強調,該平臺是依循AI-Assistant-as-a-Service概念而打造,可建構AI自動化的事件應變流程,協助第一線SOC資安人員及資安團隊,讓事件處理精準度與速度大幅提升。而這個XCockpit平臺,已在2023年7月上線。
2023年底,也就是最近一個多月以來,有更多資安大廠發布了相關消息,我們看到趨勢科技、思科、Fortinet都有應用生成式AI的進展。這也意味,其實還有更多廠商已經在進行,並且陸續對外發表,突顯此一新技術的應用漸成主流。
尤其是臺灣出身發展到全球知名的趨勢科技,先是在2023年6月發表生成式AI資安助手Companion,7月提供部分客戶使用,並在11月27日正式推出Trend Companion,開放所有客戶使用。
因此,以正式推出時間來看,這個能以自然語言聊天的Trend Companion,甚至領先於更早預告的Google與微軟。
基本上,趨勢科技這項功能整合於自家Trend Vision One整合式資安平臺,可透過自然語言的聊天介面提供服務,該助手不僅提供事件摘要與全面分析報告,還能解釋攻擊警報,關聯攻擊戰術與技巧,並清晰展示影響範圍。它還能將簡單語言轉換成正式的查詢語法,提高事件查詢的精準度。
值得注意的是,他們還提到令我們印象深刻的應用情境,那就是:幫助識別利用合法工具的寄生攻擊(LotL),例如,能解析一段PowerShell腳本的目的與運作,並產生人員能夠容易理解的解釋內容。
另一家網路與資安大廠思科,也有這方面的功能進展突破,在2023年12月6日,我們參加該公司舉行的墨爾本亞太區年度用戶大會時,看到他們現場發表全新AI助手Cisco AI Assistant,而且首先強調的應用場景是在防火牆規則管理,包括:可用自然語言簡化相關查詢與操作,並能主動提供規則分析,以及改進的建議,像是清除重複或多餘的規則,藉此強化企業防火牆管理,以降低防火牆規則因設定複雜可能帶來的安全風險與挑戰。
當時,我們看到這方面的實機展示,在Cisco Defense Orchestrator雲端管理介面上,用戶可以叫出AI Assistant Beta版來對話,另外在Cisco防火牆管理中心介面上,也同樣能有此應用。思科表示,這個AI助理之後也將擴及該公司旗下各產品線。
還有一家資安業者Fortinet,12月15日也宣布推出生成式AI助理,他們將此功能命名為Fortinet Advisor,並表示已在FortiSIEM、FortiSOAR產品開放公開預覽版、供用戶使用,其特色包含:可幫助解析資安威脅告警事件,提供事件分析摘要,當中將包含情境說明,以及潛在影響解釋的內容,並且提供緩解措施指南與回應Playbook的範本,並可用自然語言輸入提問,就能向Fortinet Advisor諮詢資安建議。
值得我們注意的是,綜觀Advisor這一命名,其實也意味著,生成式AI不只是化身助手,也可視為虛擬諮詢顧問。未來這項功能應用也將擴大,預計擴展至40多個AI驅動的解決方案。
除了上述資安業者的動向,對於資安研究人員而言,在他們目前的工作領域,也呈現積極應用生成式AI的情況。
例如,2023年10月聞名業界的漏洞懸賞平臺HackerOne,特別為此公布《駭客驅動安全報告(Hacker-Powered Security Report)》,當中列出幾個須重視的態勢,像是:結果顯示高達6成比例的資安研究人員,正利用生成式AI(GenAI)開發各種駭客工具,目的是發現更多的漏洞,也有66%的研究人員表示,正在或準備利用生成式AI來撰寫報告。
無論如何,用AI幫助資安早已是大勢所趨,生成式AI技術更是最新的利器。儘管現在只是這項技術爆發的第一年,還有很多進步空間與創新擴展,但我們可以預期,生成式AI資安的潛力相當被看重,尤其是快速處理大量資料的能力,以及用自然語言交流的能力。
整體而言,隨著2024年的到來,企業可能要意識到,當生成式AI逐漸融入資安產品,預料將成為資安團隊未來的一份子,甚至期盼是企業資安的神隊友,但AI也將會讓那些沒有道德底線的攻擊者,發展更多自動化攻擊的武器,並且會讓社交工程問題加劇,這些新挑戰,我們同樣要積極因應,因為,新的AI時代已經來臨。
◎這些年網路威脅加劇,資安人力卻總是補不滿,如何翻轉攻防不對稱的局勢是資安發展重心,而AI應用正是大家期待已久的技術。
回顧2023年生成式AI應用成形與爆發,資安界憂心攻擊者的技術門檻大幅降低,能發動更大規模且複雜的攻擊。但是,水能覆舟,亦能載舟,生成式AI同樣有助於資安,催生出新的防護作法。
儘管通用生成式AI問題持續受探討,AI監理規範也正持續發展,像是建立AI風險驗測方法,評估AI生命週期的資訊與資料安全需求,以及2023年下半的種種指引與立法,雖然確保生成式AI的安全性很重要,不過,鎖定領域專屬的局部應用,也已...
作者序
◎置身數位化全面普及的環境,無可避免會受到網路威脅的直接或間接影響,每個人該做的事情,是積極、持續認識這些資安風險與各種資安事故,正如同我們關心每天的氣象變化,並且及早進行各種必要的準備與預防措施,以便當下能夠充分因應各種可能發生的狀況。
然而,有備無患、未雨稠繆的概念雖然人盡皆知,甚至是基本常識,每天的新聞報導總不乏各種意外狀況發生,但離譜的是,許多知名的大型企業因應變故的能力仍有待提升,不免令人深思:科技使人類變得更強大嗎?恐怕真相是「使人類變得脆弱」。
今年3月初,社群網站龍頭Meta公司的Facebook、Instagram、Threads發生故障,約1個半小時恢復正常;幾個禮拜後,全球速食連鎖業者麥當勞發生大當機,十多個國家的App和餐廳點餐系統停擺,許多門市不論現場或是網路都無法接單,有些可改用紙本作業來記錄訂單,有些只收現金,甚至有直接打烊、當天停止營業的狀況。這類狀況並非今年特別多,以前也有一些令人印象深刻的例子,像是2022年4月,DevOps平臺業者Atlassian發生大當機,花了14天才復原。
若論及勒索軟體、DDoS、資料外洩等重大資安事故,更是層出不窮,駭客組織與國家網軍運用的滲透與攻擊手法五花八門,從粗製濫造到極端繁複都有可能。而這些資安威脅對於企業與組織運作造成的衝擊,也是形形色色,例如,早期早見的個人電腦中毒、硬碟損毀,之後出現網站首頁被竄改、網站服務停擺,到了近期,檔案遭到加密綁架、機敏資料與個資外洩、企業與個人身分遭冒用,更是司空見慣。
事實上,每個環節都可能遭滲透、所有管制都可能被突破,資安措施需要涵蓋全局。例如,事前預防雖然無法完全保障資安,但仍須盡力防患於未然,能在敵人侵入前就予以阻隔,可有效降低後續處理成本;至於事中察覺與事後復原能力的強化,是在APT威脅猖獗之後開始興起的資安戰略,目的是促使大家充分具備各種威脅的偵測與應變能力,建立第二條防線,但這樣與威脅貼身肉搏是更費時費力的,因此不能輕易放棄事前預防工作,如果這麼做,就沒有退路了。
面對詭譎多變的網路威脅態勢,資安的未來似乎難以令人樂觀其成,然而,生命總會找到出路,人類用幾千年的文明,突破了外在環境的限制,而得以安身立命,因此,今日我們雖然仍舊擔心各種氣候變化,卻不那麼害怕,因為大家都在不斷尋找適應與解決問題的方法,希望能通過大自然的考驗,而在因應人為活動的各種變化時,我們沒有悲觀的本錢,只能繼續拼搏,正如同臺灣與全球的命運緊密相連,資安也是如此,一榮俱榮,一損俱損。
◎置身數位化全面普及的環境,無可避免會受到網路威脅的直接或間接影響,每個人該做的事情,是積極、持續認識這些資安風險與各種資安事故,正如同我們關心每天的氣象變化,並且及早進行各種必要的準備與預防措施,以便當下能夠充分因應各種可能發生的狀況。
然而,有備無患、未雨稠繆的概念雖然人盡皆知,甚至是基本常識,每天的新聞報導總不乏各種意外狀況發生,但離譜的是,許多知名的大型企業因應變故的能力仍有待提升,不免令人深思:科技使人類變得更強大嗎?恐怕真相是「使人類變得脆弱」。
今年3月初,社群網站龍頭Meta公司的Facebo...