本周,在马里兰州国家港口举行的 Gartner 安全与风险管理峰会上,人工智能成为关注的焦点。会议一致认为,虽然大型语言模型 (LLM) 迄今为止承诺过多、交付不足,但仍然存在人工智能威胁和防御性用例,网络安全专家需要注意。
Gartner 人工智能和网络安全研究副总裁 Jeremy D’Hoinne 告诉与会者,到目前为止,黑客对人工智能的利用包括改进的网络钓鱼和社会工程 – 其中深度伪造尤其令人担忧。
但 D’Hoinne 和首席分析师 Kevin Schmidt 在联合小组讨论中一致认为,目前尚未出现任何源自人工智能的新型攻击技术,只是对现有攻击技术进行了改进,例如商业电子邮件泄露 (BEC) 或语音诈骗。
同样,人工智能安全工具仍未得到充分开发,人工智能助手可能是迄今为止最有前途的网络安全应用,能够帮助修补、缓解、警报和交互式威胁情报。D’Hoinne 警告说,这些工具应该作为安全人员的辅助工具,这样他们才不会失去批判性思考的能力。
人工智能助力网络安全工程:精度至关重要
将人工智能助手和法学硕士用于网络安全用例是 Schmidt 的另一场演讲的重点,他警告说,人工智能提示工程需要非常具体地针对安全用途,以克服法学硕士的局限性,即使这样,答案也可能只会让你实现目标的 70%-80%。输出需要验证,初级员工需要高级员工的监督,高级员工将能够更快地确定输出的重要性。Schmidt 还警告说,像 ChatGPT 这样的聊天机器人应该只用于非关键数据。
施密特举例说明了如何帮助安全运营团队的好的和坏的人工智能安全提示。
他说,“在我的中创建一个查询来识别可疑登录”太模糊了。
他举了一个编写 SIEM 查询的更好方法的例子:“在 中创建检测规则,以识别过去 24 小时内来自多个位置的可疑登录。提供 查询语言并解释其背后的逻辑,并将解释以表格形式呈现。”
该提示应产生类似以下输出的内容:
SIEM查询AI提示输出(来源:Gartner)
分析防火墙日志是另一个例子。施密特举了以下无效提示的例子:“分析防火墙日志,看是否存在任何不寻常的模式或异常。”
更好的提示是:“分析过去 24 小时的防火墙日志并识别任何不寻常的模式或异常。以适合安全团队简报的报告格式总结您的发现。”
输出结果如下:
防火墙日志提示输出(来源:Gartner)
另一个例子涉及 XDR 工具。Schmidt 没有给出“总结供应商 XDR 中最重要的两个安全警报”这样的弱化提示,而是建议了类似这样的内容:“总结供应商 XDR 中最重要的两个安全警报,包括警报 ID、描述、严重性和受影响实体。这将用于每月安全审查报告。以表格形式提供响应。”
该提示产生了以下输出:
XDR 警报提示输出(来源:Gartner)
AI 安全提示的其他示例
施密特又给出了两个好的 AI 提示的例子,一个是关于事件调查,另一个是关于 Web 应用程序漏洞。
对于安全事件调查,一个有效的提示可能是“提供事件 DB2024-001 的详细解释。包括事件的时间线、攻击者使用的方法以及对组织的影响。内部调查报告需要这些信息。以表格形式生成输出。”
该提示应导致类似以下输出的内容:
事件响应AI提示输出(来源:Gartner)
对于 Web 应用程序漏洞,Schmidt 建议采用以下方法:“识别并列出我们的 Web 应用程序中可能被攻击者利用的五大漏洞。提供每个漏洞的简要描述并建议缓解步骤。这将用于确定我们的安全修补工作的优先顺序。以表格形式生成。”
这应该会产生类似这样的输出:
Web应用程序漏洞提示输出(来源:Gartner)
人工智能安全助理的工具
施密特列出了安全团队可能使用的一些 GenAI 工具,从聊天机器人到 SecOps AI 助手(例如 CrowdStrike Charlotte AI、Microsoft Copilot for Security、SentinelOne Purple AI 和 Splunk AI),以及 AirMDR、Crogl、Dropzone 和 Radiant Security 等初创公司(见下面施密特的幻灯片)。
GenAI 工具可能用于网络安全(来源:Gartner)
发表评论
您还未登录,请先登录。
登录