网络安全CEO从客户处得到的反馈如何?
在2023年RSA大会上接受采访的网络安全提供商的CEO表示,他们的企业客户认可ChatGPT在改善网络安全方面的价值,同时也表达了对机密数据和知识产权意外泄露风险的担忧。云安全联盟(CSA)在会议期间发布了有史以来第一份ChatGPT指导文件,呼吁业界改善人工智能路线图。
NextDLP的CEO Connie Stack介绍称,她的公司调查了Next客户对ChatGPT的使用情况,发现97%的大型企业都发现其员工使用该工具。Next的Reveal平台上有10%的终端访问了ChatGPT。
在2023年RSA大会的一次采访中,Stack表示,“这种水平的ChatGPT使用率是我们的一些客户在评估这种新的数据丢失载体时十分关注的问题。一些Next的客户选择直接禁用它,其中包括一家医疗保健公司,该公司无法接受向面向公众的生成式大型语言模型泄露知识产权和商业秘密的任何风险。其他公司对潜在的好处持开放态度,并选择谨慎地使用ChatGPT来支持诸如增强数据丢失‘威胁搜索’和支持安全相关内容创建之类的事情。”
构建新的网络安全肌肉记忆
生成式AI技术有可能提高威胁分析师、威胁猎人和安全运营中心(SOC)员工的学习和工作效率,这是网络安全厂商争先恐后采用ChatGPT等生成式AI工具的主要动力。持续的学习需要深入到企业的威胁防御中,这样他们就可以依靠“肌肉记忆”来适应、响应并在入侵企图开始之前消灭它。
2023年RSA大会上讨论最多的话题当属新发布的ChatGPT产品和集成。
在宣布推出新产品和集成的20家供应商中,最值得注意的是Airgap Networks、Google Security AI Workbench、Microsoft Security Copilot(在展会前推出)、Recorded Future、Security Scorecard和 SentinelOne。
其中Airgap的零信任防火墙(ZTFW)与ThreatGPT尤其值得关注。它被设计为通过在网络核心中添加专用的微分段和访问层来补充现有的外围防火墙基础设施。Airgap的CEO Ritesh Agrawal表示,“凭借高度准确的资产发现、无代理微分段和安全访问,Airgap为应对不断变化的威胁提供了丰富的情报。客户现在需要的是一种无需任何编程即可轻松利用这种功能的方法。这就是ThreatGPT的美妙之处——人工智能的纯粹数据挖掘智能与简单的自然语言界面相结合。这对安全团队来说将是游戏规则的改变者。”
在20家零信任初创公司中,Airgap被认为是“最具创新性的工程和产品开发团队”之一。Airgap的ThreatGPT结合了图形数据库和GPT-3模型,提供了以前无法获得的网络安全洞察力。该公司配置GPT-3模型来分析自然语言查询并识别潜在的安全威胁,同时集成图形数据库以提供端点之间流量关系的上下文智能。
ChatGPT强化零信任的方式
生成式AI增强零信任的一种方式是识别和加强企业最脆弱的威胁表面。今年早些时候,零信任的创造者John Kindervag在接受采访时建议,“你要从一个受保护的表面开始”,并谈到了他所谓的“零信任学习曲线。你没有从技术入手,这就是误解。”
以下是生成式 AI加强NIST 800-207标准中定义的零信任核心框架的潜在方法:
1、在企业层面统一并学习威胁分析和事件响应
首席信息安全官(CISO)们希望整合自己的技术堆栈,因为在威胁分析、事件响应和警报系统方面存在太多相互冲突的系统,而SOC分析师不确定什么是最紧迫的。生成式AI和ChatGPT已经被证明是整合应用程序的强大工具。它们最终将为CISO提供跨基础设施的威胁分析和事件响应的单一视图。
2、通过持续监控更快识别基于身份的内部和外部入侵企图
零信任的核心是身份。生成式AI有可能快速识别给定身份的活动是否与其之前的历史一致。
CISO们认为,需要阻止的最具挑战性的入侵行为通常是从内部开始的,利用的是合法的身份和凭据。
LLM(大语言模型)的核心优势之一是能够根据小样本量发现数据中的异常。这非常适合保护IAM、PAM和Active Directories。事实证明,LLM 在分析用户访问日志和检测可疑活动方面是有效的。
3、克服微分段最具挑战性的障碍
正确进行微分段面临的诸多挑战可能会导致大型微分段项目拖延数月甚至数年。虽然网络微分段旨在隔离企业网络中定义的分段,但它鲜少是一劳永逸的任务。
生成式AI可以通过确定如何在不中断系统和资源访问的情况下最好地引入微分段方案来提供帮助。最重要的是,它可以潜在地减少不良微分段项目在IT服务管理系统中创建的数以千计的故障单。
4、解决管理和保护端点及身份面临的安全挑战
攻击者一直在寻找端点安全和身份管理之间的漏洞。生成式AI和ChatGPT可以帮助解决这个问题,为威胁猎人提供他们所需的情报,让他们知道哪些端点最容易被攻破。
为了强化安全响应的“肌肉记忆”,特别是当涉及到端点时,生成式AI可以用来不断学习攻击者试图渗透端点的方式、目标点以及他们试图使用的身份。
5、将最低特权访问提升到一个全新的水平
将生成式AI应用于通过身份、系统和时间长度限制对资源的访问是最强大的零信任AI增强用例之一。根据资源和权限配置文件向ChatGPT查询审计数据可为系统管理员和SOC团队每年节省数千小时。
最低权限访问的核心部分是删除过时的帐户。Ivanti的《2023年安全准备状况报告》发现,45%的企业怀疑前员工和承包商仍然可以主动访问公司的系统和文件。
Ivanti的首席产品官Srinivas Mukkamala博士指出,“大型企业往往没有考虑到庞大的应用程序、平台和第三方服务生态系统,这些应用程序、平台和第三方服务授予的访问权限远远超过员工的任期。我们称这些为‘僵尸凭证’,数量惊人的安全专业人员,甚至是高层管理人员,仍然可以访问前雇主的系统和数据。”
6、微调行为分析、风险评分以及安全角色的实时调整
生成式AI和ChatGPT将使SOC分析师和团队能够更快地掌握行为分析和风险评分发现的异常情况。然后,他们可以立即阻止潜在攻击者试图进行的任何横向移动。仅通过风险评分定义特权访问将过时,生成式AI会将请求置于上下文中,并向其算法发送警报以识别潜在威胁。
7、改进的实时分析、报告和可见性,帮助阻止在线欺诈
大多数成功的零信任计划都是建立在数据集成基础之上的,后者汇总和报告实时分析、报告和可见性。企业可将这些数据用于训练生成式AI模型,向SOC的威胁猎人和分析师提供前所未有的见解。
在阻止电子商务欺诈方面,其结果将是可以立即衡量的,因为攻击者会以无法跟上攻击步伐的电子商务系统为目标。具有ChatGPT访问历史数据的威胁分析人员将立即知道标记的交易是否合法。
8、改进情境感知访问,增强细粒度访问控制
零信任的另一个核心组件是基于身份、资产和端点的访问控制粒度。寻求生成式AI来创建全新的工作流程,可以更准确地检测网络流量模式、用户行为和上下文智能的组合,从而根据身份、角色建议策略更改。威胁猎人、SOC分析师和欺诈分析师将在几秒钟内了解每个被滥用的特权访问凭据,并能够通过简单的ChatGPT命令限制所有访问。
9、强化配置和合规性,使其更加符合零信任标准
ChatGPT所基于的LLM模型已被证明在改进异常检测和简化欺诈检测方面是有效的。该领域的下一步是利用ChatGPT模型来自动化访问策略和用户组创建,并随时了解模型生成的实时数据的合规性。ChatGPT将极大提高配置管理、风险治理和合规性报告的工作效率。
10、限制网络钓鱼攻击的半径
这是攻击者赖以生存的威胁表面——用社交工程手段诱骗受害者支付大笔现金。ChatGPT已被证明在自然语言处理(NLP)方面非常有效,并且与其LLM相结合,可以有效地检测电子邮件中的异常文本模式。这些模式通常是商业电子邮件入侵(BEC)欺诈的标志。ChatGPT还可以检测识别AI生成的电子邮件并将其发送到隔离区。生成式AI正被用于开发下一代网络弹性平台和检测系统。
专注于将零信任的劣势转化为优势
ChatGPT和生成式AI可以通过加强企业零信任安全的“肌肉记忆”来应对不断变化的威胁情报和安全知识的挑战。是时候将这些技术视为学习系统了,通过记录和检测所有网络流量、限制和控制访问以及验证和保护网络资源,帮助企业不断提高其网络安全自动化水平和人力技能,以抵御外部和内部威胁。