CYBERSEC 2024 臺灣資安年鑑─AI資安2024 徹底剖析生成式AI資安攻防態勢

【本書簡介】
掌握近期企業重大資安事故以及資安防禦觀念，有助於企業了解即將面對的各種挑戰以及如何因應。

【推薦序】
◎面對詭譎多變的網路威脅態勢，每個人該做的事情，是積極、持續認識這些資安風險與各種資安事故，以便當下能夠充分因應各種可能發生的狀況。──李宗翰∕iThome電腦報週刊副總編輯

【內容試讀】
◎這些年網路威脅加劇，資安人力卻總是補不滿，如何翻轉攻防不對稱的局勢是資安發展重心，而AI應用正是大家期待已久的技術。
回顧2023年生成式AI應用成形與爆發，資安界憂心攻擊者的技術門檻大幅降低，能發動更大規模且複雜的攻擊。但是，水能覆舟，亦能載舟，生成式AI同樣有助於資安，催生出新的防護作法。
儘管通用生成式AI問題持續受探討，AI監理規範也正持續發展，像是建立AI風險驗測方法，評估AI生命週期的資訊與資料安全需求，以及2023年下半的種種指引與立法，雖然確保生成式AI的安全性很重要，不過，鎖定領域專屬的局部應用，也已經是重要的發展方向。
基本上，資安業者採用AI/ML提升本身產品與服務的能力，早就已經不是新鮮事，甚至越來越多廠商強調，他們發展的資安解決方案要以AI為中樞，而在GPT-4、PaLM 2、Llama 2等多個大型語言模型（LLM）引領之下，不僅帶動當前的生成式AI興起，也再次掀起AI資安浪潮。
因此，這一年來生成式AI的應用，不僅微軟與Google的一舉一動備受熱烈關注，許多資安大廠發展與導入的態度也很積極，令人驚喜的是，臺灣多家資安業者也不落人後。
在2024年可以預見的是，對於資安領域而言，生成式AI可望帶來完全不同的新面貌，而且，也有許多資安專家盼望，這樣的技術，能夠成為資安人員因應威脅的救星，幫助縮短攻防不對稱的嚴峻態勢。
因此不論企業規模大小，勢必都要了解當前的生成式AI發展概況，才能更好設想未來如何提升資安防護。
早在2014年，我們就看到美國一家名為Tanium的新創公司，發展資安軟體結合自然語言，使用者透過口語化文字輸入提問，就能盤查企業電腦網路。到了2016年，對話機器人（Chatbot）開始步入主流，但當時仍處於自然語言理解階段，還需改進對話管理與自然語言生成；在2018年，GPT-1誕生，促成新一波AI應用。
到了2023年，基於LLM的生成式AI技術不僅爆紅，其資安領域上的應用潛力，也有目共睹。
首先，在2023年3月29日這一天，微軟發表整合GPT-4大型語言模型的Security Copilot，目標是協助資安人員完成相關工作，相隔一個月之後，Google發布整合自家Sec-PaLM大型語言模型的Security AI Workbench平臺。
這些產品新功能的預告，意味著新時代來臨──將生成式AI技術整合至各種資安產品和服務。
接下來幾個月，這兩家大廠宣布將生成式AI的技術，擴大至眾多產品線。以雲端服務為例，像是Microsoft 365 Copilot、Duet AI for Google Workspace等，而這些輔助生產力工具的AI助理，吸引許多用戶目光。在端點裝置，例如個人電腦與手機，微軟針對Windows系統，預計提供Copilot in Windows輔助功能，最新Google Pixel手機的相片魔術橡皮擦、提高解析度功能，背後也是導入了生成式AI。
更重要的是，還有各式資安產品，也都將擁抱這股新浪潮，包括微軟的Microsoft Defender XDR、Sentinel、Intune，以及Google的Chronicle等。
究竟生成式AI的出現，會讓各類資安產品帶來哪些改變？
以微軟為例，在2023年11月公布的Microsoft Defender XDR預覽版當中，企業將可藉助嵌入的Security Copilot功能，達到多項應用效益，例如：不需撰寫複雜的查詢指令，可節省時間並減少發生錯誤的機率，可幫助快速摘要事件、分析腳本與程式碼，能提供引導式回應機制，幫助操作人員對事件採取動作，同時，還能用自然語言產生Kusto查詢語言（KQL），以及能夠讓撰寫事件報告的作業變得更有效率。
而且，幾日之後，微軟接續發出預告，表明將會整合Microsoft Defender XDR/Sentinel及Security Copilot，放置在同一個管理平臺。
Google在12月也宣布Duet AI in Security Operations正式上線，這是適用於資安維運的生成式AI助理，供所有Chronicle用戶使用，可簡化威脅偵測並給予回應，協助歸納與分類威脅資訊，將自然語言輸入轉換為查詢指令並執行複雜分析，提供案例資料與警報的自動摘要，以及提供後續步驟建議，以改善事件回應時間等。
同時Google還預告，未來幾週，所有的Duet AI服務，都將包含新的多模態模型Gemini，這也顯示出，近年生成式AI能力與日俱增，其技術水準正在快速提升與進步。
不只是微軟與Google，事實上，在那段期間，短短幾個月之內，有多家資安廠商紛紛跟上這股風潮，顯然都是看重生成式AI在資安應用的潛力與優勢。
如微軟一發表Security Copilot之後，網路威脅情報業者Recorded Future的動作很迅速，在2023年4月11日宣布，在自家的網路威脅情資（CTI）平臺整合OpenAI GPT，他們強調可藉此幫助企業整理龐大資料，並且緩解網路安全技能短缺的情形。
接著，是資安風險管理業者Security Scorecard，他們在4月25日宣布，其服務將整合OpenAI的GPT-4，可用自然語言回答網路風險問題，像是：找出評分最低的10家供應商，顯示過去一年有哪些重要供應商遭入侵等，讓用戶在風險管理決策上可以更有效率，並可針對需要優先處理的網路安全風險，提出緩解的建議。
另一家資安業者SentinelOne也選在此時跟進，在4月26日公布整合生成式AI的Purple AI，強調對話式AI可以讓威脅獵捕變得容易，讓威脅分析變得簡單，當中說明Purple AI的應用特性。像是分析人員想搜尋特定威脅時，可輸入環境是否感染SmoothOpreator的語句，而不需建立以入侵指標（IoC）形式的手動查詢，在此同時，指出Purple AI對資料蒐集與網路安全領域的理解，使它能夠快速確定事件鏈，並向分析師總結出潛在的複雜威脅情況。
特別的是，臺灣有資安業者更快發展生成式AI，並且早於上述公司。例如，前幾年參與MITRE ATT&CK評估計畫、受國際關注的奧義智慧，於微軟Security Copilot發表後，在4月6日這天，該公司就宣布將推出「XCockpit」自動化資安威脅管理平臺，並會導入AI虛擬分析助手於其中。
該平臺不僅整合既有EDR與鑑識調查的產品，日後還將增加AD安全與ASM的功能模組，更關鍵的是，他們強調，該平臺是依循AI-Assistant-as-a-Service概念而打造，可建構AI自動化的事件應變流程，協助第一線SOC資安人員及資安團隊，讓事件處理精準度與速度大幅提升。而這個XCockpit平臺，已在2023年7月上線。
2023年底，也就是最近一個多月以來，有更多資安大廠發布了相關消息，我們看到趨勢科技、思科、Fortinet都有應用生成式AI的進展。這也意味，其實還有更多廠商已經在進行，並且陸續對外發表，突顯此一新技術的應用漸成主流。
尤其是臺灣出身發展到全球知名的趨勢科技，先是在2023年6月發表生成式AI資安助手Companion，7月提供部分客戶使用，並在11月27日正式推出Trend Companion，開放所有客戶使用。
因此，以正式推出時間來看，這個能以自然語言聊天的Trend Companion，甚至領先於更早預告的Google與微軟。
基本上，趨勢科技這項功能整合於自家Trend Vision One整合式資安平臺，可透過自然語言的聊天介面提供服務，該助手不僅提供事件摘要與全面分析報告，還能解釋攻擊警報，關聯攻擊戰術與技巧，並清晰展示影響範圍。它還能將簡單語言轉換成正式的查詢語法，提高事件查詢的精準度。
值得注意的是，他們還提到令我們印象深刻的應用情境，那就是：幫助識別利用合法工具的寄生攻擊（LotL），例如，能解析一段PowerShell腳本的目的與運作，並產生人員能夠容易理解的解釋內容。
另一家網路與資安大廠思科，也有這方面的功能進展突破，在2023年12月6日，我們參加該公司舉行的墨爾本亞太區年度用戶大會時，看到他們現場發表全新AI助手Cisco AI Assistant，而且首先強調的應用場景是在防火牆規則管理，包括：可用自然語言簡化相關查詢與操作，並能主動提供規則分析，以及改進的建議，像是清除重複或多餘的規則，藉此強化企業防火牆管理，以降低防火牆規則因設定複雜可能帶來的安全風險與挑戰。
當時，我們看到這方面的實機展示，在Cisco Defense Orchestrator雲端管理介面上，用戶可以叫出AI Assistant Beta版來對話，另外在Cisco防火牆管理中心介面上，也同樣能有此應用。思科表示，這個AI助理之後也將擴及該公司旗下各產品線。
還有一家資安業者Fortinet，12月15日也宣布推出生成式AI助理，他們將此功能命名為Fortinet Advisor，並表示已在FortiSIEM、FortiSOAR產品開放公開預覽版、供用戶使用，其特色包含：可幫助解析資安威脅告警事件，提供事件分析摘要，當中將包含情境說明，以及潛在影響解釋的內容，並且提供緩解措施指南與回應Playbook的範本，並可用自然語言輸入提問，就能向Fortinet Advisor諮詢資安建議。
值得我們注意的是，綜觀Advisor這一命名，其實也意味著，生成式AI不只是化身助手，也可視為虛擬諮詢顧問。未來這項功能應用也將擴大，預計擴展至40多個AI驅動的解決方案。
除了上述資安業者的動向，對於資安研究人員而言，在他們目前的工作領域，也呈現積極應用生成式AI的情況。
例如，2023年10月聞名業界的漏洞懸賞平臺HackerOne，特別為此公布《駭客驅動安全報告（Hacker-Powered Security Report）》，當中列出幾個須重視的態勢，像是：結果顯示高達6成比例的資安研究人員，正利用生成式AI（GenAI）開發各種駭客工具，目的是發現更多的漏洞，也有66％的研究人員表示，正在或準備利用生成式AI來撰寫報告。
無論如何，用AI幫助資安早已是大勢所趨，生成式AI技術更是最新的利器。儘管現在只是這項技術爆發的第一年，還有很多進步空間與創新擴展，但我們可以預期，生成式AI資安的潛力相當被看重，尤其是快速處理大量資料的能力，以及用自然語言交流的能力。
整體而言，隨著2024年的到來，企業可能要意識到，當生成式AI逐漸融入資安產品，預料將成為資安團隊未來的一份子，甚至期盼是企業資安的神隊友，但AI也將會讓那些沒有道德底線的攻擊者，發展更多自動化攻擊的武器，並且會讓社交工程問題加劇，這些新挑戰，我們同樣要積極因應，因為，新的AI時代已經來臨。