網絡安全CEO從客戶處得到的反饋如何?

在2023年RSA大會上接受采訪的網絡安全提供商的CEO表示，他們的企業客戶認可ChatGPT在改善網絡安全方面的價值，同時也表達了對機密數據和知識產權意外泄露風險的擔憂。云安全聯盟(CSA)在會議期間發布了有史以來第一份ChatGPT指導文件，呼吁業界改善人工智能路線圖。

NextDLP的CEO Connie Stack介紹稱，她的公司調查了Next客戶對ChatGPT的使用情況，發現97%的大型企業都發現其員工使用該工具。Next的Reveal平臺上有10%的終端訪問了ChatGPT。

在2023年RSA大會的一次采訪中，Stack表示，“這種水平的ChatGPT使用率是我們的一些客戶在評估這種新的數據丟失載體時十分關注的問題。一些Next的客戶選擇直接禁用它，其中包括一家醫療保健公司，該公司無法接受向面向公眾的生成式大型語言模型泄露知識產權和商業秘密的任何風險。其他公司對潛在的好處持開放態度，并選擇謹慎地使用ChatGPT來支持諸如增強數據丟失‘威脅搜索’和支持安全相關內容創建之類的事情?！?/p>

構建新的網絡安全肌肉記憶

生成式AI技術有可能提高威脅分析師、威脅獵人和安全運營中心(SOC)員工的學習和工作效率，這是網絡安全廠商爭先恐后采用ChatGPT等生成式AI工具的主要動力。持續的學習需要深入到企業的威脅防御中，這樣他們就可以依靠“肌肉記憶”來適應、響應并在入侵企圖開始之前消滅它。

2023年RSA大會上討論最多的話題當屬新發布的ChatGPT產品和集成。

在宣布推出新產品和集成的20家供應商中，最值得注意的是Airgap Networks、Google Security AI Workbench、Microsoft Security Copilot(在展會前推出)、Recorded Future、Security Scorecard和 SentinelOne。

其中Airgap的零信任防火墻(ZTFW)與ThreatGPT尤其值得關注。它被設計為通過在網絡核心中添加專用的微分段和訪問層來補充現有的外圍防火墻基礎設施。Airgap的CEO Ritesh Agrawal表示，“憑借高度準確的資產發現、無代理微分段和安全訪問，Airgap為應對不斷變化的威脅提供了豐富的情報?？蛻衄F在需要的是一種無需任何編程即可輕松利用這種功能的方法。這就是ThreatGPT的美妙之處——人工智能的純粹數據挖掘智能與簡單的自然語言界面相結合。這對安全團隊來說將是游戲規則的改變者?！?/p>

在20家零信任初創公司中，Airgap被認為是“最具創新性的工程和產品開發團隊”之一。Airgap的ThreatGPT結合了圖形數據庫和GPT-3模型，提供了以前無法獲得的網絡安全洞察力。該公司配置GPT-3模型來分析自然語言查詢并識別潛在的安全威脅，同時集成圖形數據庫以提供端點之間流量關系的上下文智能。

ChatGPT強化零信任的方式

生成式AI增強零信任的一種方式是識別和加強企業最脆弱的威脅表面。今年早些時候，零信任的創造者John Kindervag在接受采訪時建議，“你要從一個受保護的表面開始”，并談到了他所謂的“零信任學習曲線。你沒有從技術入手，這就是誤解?！?/p>

以下是生成式 AI加強NIST 800-207標準中定義的零信任核心框架的潛在方法：

1、在企業層面統一并學習威脅分析和事件響應

首席信息安全官(CISO)們希望整合自己的技術堆棧，因為在威脅分析、事件響應和警報系統方面存在太多相互沖突的系統，而SOC分析師不確定什么是最緊迫的。生成式AI和ChatGPT已經被證明是整合應用程序的強大工具。它們最終將為CISO提供跨基礎設施的威脅分析和事件響應的單一視圖。

2、通過持續監控更快識別基于身份的內部和外部入侵企圖

零信任的核心是身份。生成式AI有可能快速識別給定身份的活動是否與其之前的歷史一致。

CISO們認為，需要阻止的最具挑戰性的入侵行為通常是從內部開始的，利用的是合法的身份和憑據。

LLM(大語言模型)的核心優勢之一是能夠根據小樣本量發現數據中的異常。這非常適合保護IAM、PAM和Active Directories。事實證明，LLM 在分析用戶訪問日志和檢測可疑活動方面是有效的。

3、克服微分段最具挑戰性的障礙

正確進行微分段面臨的諸多挑戰可能會導致大型微分段項目拖延數月甚至數年。雖然網絡微分段旨在隔離企業網絡中定義的分段，但它鮮少是一勞永逸的任務。

生成式AI可以通過確定如何在不中斷系統和資源訪問的情況下最好地引入微分段方案來提供幫助。最重要的是，它可以潛在地減少不良微分段項目在IT服務管理系統中創建的數以千計的故障單。

4、解決管理和保護端點及身份面臨的安全挑戰

攻擊者一直在尋找端點安全和身份管理之間的漏洞。生成式AI和ChatGPT可以幫助解決這個問題，為威脅獵人提供他們所需的情報，讓他們知道哪些端點最容易被攻破。

為了強化安全響應的“肌肉記憶”，特別是當涉及到端點時，生成式AI可以用來不斷學習攻擊者試圖滲透端點的方式、目標點以及他們試圖使用的身份。

5、將最低特權訪問提升到一個全新的水平

將生成式AI應用于通過身份、系統和時間長度限制對資源的訪問是最強大的零信任AI增強用例之一。根據資源和權限配置文件向ChatGPT查詢審計數據可為系統管理員和SOC團隊每年節省數千小時。

最低權限訪問的核心部分是刪除過時的帳戶。Ivanti的《2023年安全準備狀況報告》發現，45%的企業懷疑前員工和承包商仍然可以主動訪問公司的系統和文件。

Ivanti的首席產品官Srinivas Mukkamala博士指出，“大型企業往往沒有考慮到龐大的應用程序、平臺和第三方服務生態系統，這些應用程序、平臺和第三方服務授予的訪問權限遠遠超過員工的任期。我們稱這些為‘僵尸憑證’，數量驚人的安全專業人員，甚至是高層管理人員，仍然可以訪問前雇主的系統和數據?！?/p>

6、微調行為分析、風險評分以及安全角色的實時調整

生成式AI和ChatGPT將使SOC分析師和團隊能夠更快地掌握行為分析和風險評分發現的異常情況。然后，他們可以立即阻止潛在攻擊者試圖進行的任何橫向移動。僅通過風險評分定義特權訪問將過時，生成式AI會將請求置于上下文中，并向其算法發送警報以識別潛在威脅。

7、改進的實時分析、報告和可見性，幫助阻止在線欺詐

大多數成功的零信任計劃都是建立在數據集成基礎之上的，后者匯總和報告實時分析、報告和可見性。企業可將這些數據用于訓練生成式AI模型，向SOC的威脅獵人和分析師提供前所未有的見解。

在阻止電子商務欺詐方面，其結果將是可以立即衡量的，因為攻擊者會以無法跟上攻擊步伐的電子商務系統為目標。具有ChatGPT訪問歷史數據的威脅分析人員將立即知道標記的交易是否合法。

8、改進情境感知訪問，增強細粒度訪問控制

零信任的另一個核心組件是基于身份、資產和端點的訪問控制粒度。尋求生成式AI來創建全新的工作流程，可以更準確地檢測網絡流量模式、用戶行為和上下文智能的組合，從而根據身份、角色建議策略更改。威脅獵人、SOC分析師和欺詐分析師將在幾秒鐘內了解每個被濫用的特權訪問憑據，并能夠通過簡單的ChatGPT命令限制所有訪問。

9、強化配置和合規性，使其更加符合零信任標準

ChatGPT所基于的LLM模型已被證明在改進異常檢測和簡化欺詐檢測方面是有效的。該領域的下一步是利用ChatGPT模型來自動化訪問策略和用戶組創建，并隨時了解模型生成的實時數據的合規性。ChatGPT將極大提高配置管理、風險治理和合規性報告的工作效率。

10、限制網絡釣魚攻擊的半徑

這是攻擊者賴以生存的威脅表面——用社交工程手段誘騙受害者支付大筆現金。ChatGPT已被證明在自然語言處理(NLP)方面非常有效，并且與其LLM相結合，可以有效地檢測電子郵件中的異常文本模式。這些模式通常是商業電子郵件入侵(BEC)欺詐的標志。ChatGPT還可以檢測識別AI生成的電子郵件并將其發送到隔離區。生成式AI正被用于開發下一代網絡彈性平臺和檢測系統。

專注于將零信任的劣勢轉化為優勢

ChatGPT和生成式AI可以通過加強企業零信任安全的“肌肉記憶”來應對不斷變化的威脅情報和安全知識的挑戰。是時候將這些技術視為學習系統了，通過記錄和檢測所有網絡流量、限制和控制訪問以及驗證和保護網絡資源，幫助企業不斷提高其網絡安全自動化水平和人力技能，以抵御外部和內部威脅。