在2023年RSA大會上接受采訪的網(wǎng)絡(luò)安全提供商的CEO表示,他們的企業(yè)客戶認可ChatGPT在改善網(wǎng)絡(luò)安全方面的價值,同時也表達了對機密數(shù)據(jù)和知識產(chǎn)權(quán)意外泄露風(fēng)險的擔(dān)憂。云安全聯(lián)盟(CSA)在會議期間發(fā)布了有史以來第一份ChatGPT指導(dǎo)文件,呼吁業(yè)界改善人工智能路線圖。
NextDLP的CEO Connie Stack介紹稱,她的公司調(diào)查了Next客戶對ChatGPT的使用情況,發(fā)現(xiàn)97%的大型企業(yè)都發(fā)現(xiàn)其員工使用該工具。Next的Reveal平臺上有10%的終端訪問了ChatGPT。
在2023年RSA大會的一次采訪中,Stack表示,“這種水平的ChatGPT使用率是我們的一些客戶在評估這種新的數(shù)據(jù)丟失載體時十分關(guān)注的問題。一些Next的客戶選擇直接禁用它,其中包括一家醫(yī)療保健公司,該公司無法接受向面向公眾的生成式大型語言模型泄露知識產(chǎn)權(quán)和商業(yè)秘密的任何風(fēng)險。其他公司對潛在的好處持開放態(tài)度,并選擇謹慎地使用ChatGPT來支持諸如增強數(shù)據(jù)丟失‘威脅搜索’和支持安全相關(guān)內(nèi)容創(chuàng)建之類的事情。”
構(gòu)建新的網(wǎng)絡(luò)安全肌肉記憶
生成式AI技術(shù)有可能提高威脅分析師、威脅獵人和安全運營中心(SOC)員工的學(xué)習(xí)和工作效率,這是網(wǎng)絡(luò)安全廠商爭先恐后采用ChatGPT等生成式AI工具的主要動力。持續(xù)的學(xué)習(xí)需要深入到企業(yè)的威脅防御中,這樣他們就可以依靠“肌肉記憶”來適應(yīng)、響應(yīng)并在入侵企圖開始之前消滅它。
2023年RSA大會上討論最多的話題當屬新發(fā)布的ChatGPT產(chǎn)品和集成。
在宣布推出新產(chǎn)品和集成的20家供應(yīng)商中,最值得注意的是Airgap Networks、Google Security AI Workbench、Microsoft Security Copilot(在展會前推出)、Recorded Future、Security Scorecard和 SentinelOne。
其中Airgap的零信任防火墻(ZTFW)與ThreatGPT尤其值得關(guān)注。它被設(shè)計為通過在網(wǎng)絡(luò)核心中添加專用的微分段和訪問層來補充現(xiàn)有的外圍防火墻基礎(chǔ)設(shè)施。Airgap的CEO Ritesh Agrawal表示,“憑借高度準確的資產(chǎn)發(fā)現(xiàn)、無代理微分段和安全訪問,Airgap為應(yīng)對不斷變化的威脅提供了豐富的情報??蛻衄F(xiàn)在需要的是一種無需任何編程即可輕松利用這種功能的方法。這就是ThreatGPT的美妙之處——人工智能的純粹數(shù)據(jù)挖掘智能與簡單的自然語言界面相結(jié)合。這對安全團隊來說將是游戲規(guī)則的改變者。”
在20家零信任初創(chuàng)公司中,Airgap被認為是“最具創(chuàng)新性的工程和產(chǎn)品開發(fā)團隊”之一。Airgap的ThreatGPT結(jié)合了圖形數(shù)據(jù)庫和GPT-3模型,提供了以前無法獲得的網(wǎng)絡(luò)安全洞察力。該公司配置GPT-3模型來分析自然語言查詢并識別潛在的安全威脅,同時集成圖形數(shù)據(jù)庫以提供端點之間流量關(guān)系的上下文智能。
ChatGPT強化零信任的方式
生成式AI增強零信任的一種方式是識別和加強企業(yè)最脆弱的威脅表面。今年早些時候,零信任的創(chuàng)造者John Kindervag在接受采訪時建議,“你要從一個受保護的表面開始”,并談到了他所謂的“零信任學(xué)習(xí)曲線。你沒有從技術(shù)入手,這就是誤解。”
以下是生成式 AI加強NIST 800-207標準中定義的零信任核心框架的潛在方法:
1. 在企業(yè)層面統(tǒng)一并學(xué)習(xí)威脅分析和事件響應(yīng)
首席信息安全官(CISO)們希望整合自己的技術(shù)堆棧,因為在威脅分析、事件響應(yīng)和警報系統(tǒng)方面存在太多相互沖突的系統(tǒng),而SOC分析師不確定什么是最緊迫的。生成式AI和ChatGPT已經(jīng)被證明是整合應(yīng)用程序的強大工具。它們最終將為CISO提供跨基礎(chǔ)設(shè)施的威脅分析和事件響應(yīng)的單一視圖。
2. 通過持續(xù)監(jiān)控更快識別基于身份的內(nèi)部和外部入侵企圖
零信任的核心是身份。生成式AI有可能快速識別給定身份的活動是否與其之前的歷史一致。
CISO們認為,需要阻止的最具挑戰(zhàn)性的入侵行為通常是從內(nèi)部開始的,利用的是合法的身份和憑據(jù)。
LLM(大語言模型)的核心優(yōu)勢之一是能夠根據(jù)小樣本量發(fā)現(xiàn)數(shù)據(jù)中的異常。這非常適合保護IAM、PAM和Active Directories。事實證明,LLM 在分析用戶訪問日志和檢測可疑活動方面是有效的。
3. 克服微分段最具挑戰(zhàn)性的障礙
正確進行微分段面臨的諸多挑戰(zhàn)可能會導(dǎo)致大型微分段項目拖延數(shù)月甚至數(shù)年。雖然網(wǎng)絡(luò)微分段旨在隔離企業(yè)網(wǎng)絡(luò)中定義的分段,但它鮮少是一勞永逸的任務(wù)。
生成式AI可以通過確定如何在不中斷系統(tǒng)和資源訪問的情況下最好地引入微分段方案來提供幫助。最重要的是,它可以潛在地減少不良微分段項目在IT服務(wù)管理系統(tǒng)中創(chuàng)建的數(shù)以千計的故障單。
4. 解決管理和保護端點及身份面臨的安全挑戰(zhàn)
攻擊者一直在尋找端點安全和身份管理之間的漏洞。生成式AI和ChatGPT可以幫助解決這個問題,為威脅獵人提供他們所需的情報,讓他們知道哪些端點最容易被攻破。
為了強化安全響應(yīng)的“肌肉記憶”,特別是當涉及到端點時,生成式AI可以用來不斷學(xué)習(xí)攻擊者試圖滲透端點的方式、目標點以及他們試圖使用的身份。
5. 將最低特權(quán)訪問提升到一個全新的水平
將生成式AI應(yīng)用于通過身份、系統(tǒng)和時間長度限制對資源的訪問是最強大的零信任AI增強用例之一。根據(jù)資源和權(quán)限配置文件向ChatGPT查詢審計數(shù)據(jù)可為系統(tǒng)管理員和SOC團隊每年節(jié)省數(shù)千小時。
最低權(quán)限訪問的核心部分是刪除過時的帳戶。Ivanti的《2023年安全準備狀況報告》發(fā)現(xiàn),45%的企業(yè)懷疑前員工和承包商仍然可以主動訪問公司的系統(tǒng)和文件。
Ivanti的首席產(chǎn)品官Srinivas Mukkamala博士指出,“大型企業(yè)往往沒有考慮到龐大的應(yīng)用程序、平臺和第三方服務(wù)生態(tài)系統(tǒng),這些應(yīng)用程序、平臺和第三方服務(wù)授予的訪問權(quán)限遠遠超過員工的任期。我們稱這些為‘僵尸憑證’,數(shù)量驚人的安全專業(yè)人員,甚至是高層管理人員,仍然可以訪問前雇主的系統(tǒng)和數(shù)據(jù)。”
6. 微調(diào)行為分析、風(fēng)險評分以及安全角色的實時調(diào)整
生成式AI和ChatGPT將使SOC分析師和團隊能夠更快地掌握行為分析和風(fēng)險評分發(fā)現(xiàn)的異常情況。然后,他們可以立即阻止?jié)撛诠粽咴噲D進行的任何橫向移動。僅通過風(fēng)險評分定義特權(quán)訪問將過時,生成式AI會將請求置于上下文中,并向其算法發(fā)送警報以識別潛在威脅。
7. 改進的實時分析、報告和可見性,幫助阻止在線欺詐
大多數(shù)成功的零信任計劃都是建立在數(shù)據(jù)集成基礎(chǔ)之上的,后者匯總和報告實時分析、報告和可見性。企業(yè)可將這些數(shù)據(jù)用于訓(xùn)練生成式AI模型,向SOC的威脅獵人和分析師提供前所未有的見解。
在阻止電子商務(wù)欺詐方面,其結(jié)果將是可以立即衡量的,因為攻擊者會以無法跟上攻擊步伐的電子商務(wù)系統(tǒng)為目標。具有ChatGPT訪問歷史數(shù)據(jù)的威脅分析人員將立即知道標記的交易是否合法。
8. 改進情境感知訪問,增強細粒度訪問控制
零信任的另一個核心組件是基于身份、資產(chǎn)和端點的訪問控制粒度。尋求生成式AI來創(chuàng)建全新的工作流程,可以更準確地檢測網(wǎng)絡(luò)流量模式、用戶行為和上下文智能的組合,從而根據(jù)身份、角色建議策略更改。威脅獵人、SOC分析師和欺詐分析師將在幾秒鐘內(nèi)了解每個被濫用的特權(quán)訪問憑據(jù),并能夠通過簡單的ChatGPT命令限制所有訪問。
9. 強化配置和合規(guī)性,使其更加符合零信任標準
ChatGPT所基于的LLM模型已被證明在改進異常檢測和簡化欺詐檢測方面是有效的。該領(lǐng)域的下一步是利用ChatGPT模型來自動化訪問策略和用戶組創(chuàng)建,并隨時了解模型生成的實時數(shù)據(jù)的合規(guī)性。ChatGPT將極大提高配置管理、風(fēng)險治理和合規(guī)性報告的工作效率。
10. 限制網(wǎng)絡(luò)釣魚攻擊的半徑
這是攻擊者賴以生存的威脅表面——用社交工程手段誘騙受害者支付大筆現(xiàn)金。ChatGPT已被證明在自然語言處理(NLP)方面非常有效,并且與其LLM相結(jié)合,可以有效地檢測電子郵件中的異常文本模式。這些模式通常是商業(yè)電子郵件入侵(BEC)欺詐的標志。ChatGPT還可以檢測識別AI生成的電子郵件并將其發(fā)送到隔離區(qū)。生成式AI正被用于開發(fā)下一代網(wǎng)絡(luò)彈性平臺和檢測系統(tǒng)。
專注于將零信任的劣勢轉(zhuǎn)化為優(yōu)勢
ChatGPT和生成式AI可以通過加強企業(yè)零信任安全的“肌肉記憶”來應(yīng)對不斷變化的威脅情報和安全知識的挑戰(zhàn)。是時候?qū)⑦@些技術(shù)視為學(xué)習(xí)系統(tǒng)了,通過記錄和檢測所有網(wǎng)絡(luò)流量、限制和控制訪問以及驗證和保護網(wǎng)絡(luò)資源,幫助企業(yè)不斷提高其網(wǎng)絡(luò)安全自動化水平和人力技能,以抵御外部和內(nèi)部威脅。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。