近來ChatGPT引爆全球AI狂潮。事實上,AI並非新的技術,但隨科技發展,AI的好壞差異卻更為凸顯。ChatGPT相較Siri而言,更貼近人類語言,回覆專業問題更到位。
安全技術提供商Vectra台灣區資安技術顧問許雅玲,於資安人舉辦「2023資安365年會」上指出,大家使用AI,是因大量數據需藉由AI協助處理,許多從AI衍生出來的問題,最終仍需交由AI解決,「只有AI能對抗AI」。
她指出,AI的運用相當廣泛,有業者開始將GPT導入組織內,替他們回覆員工問題,也有很多攻擊者將AI當成攻擊工具,如社交攻擊郵件,係透過AI分析攻擊者有興趣的語言以打動攻擊者,讓他們點擊郵件進行攻擊。
商Vectra台灣區資安技術顧問許雅玲
企業組織面臨的問題
首先是對VMWare保護。許雅玲說,許多組織有所謂VMWare架構,通常一組VMWare上可能有數十台至數百台主機,更新上難免出現時間差,漏洞修補不易。此外,管理者拿到ESXi權限後,可以直接使用連線加密機制SSH至所有主機,然當他們完成除錯後,卻不見得記得關閉連線。
其次是ICS(工業控制系統)/IoT(物聯網)可能受到外來維護廠商可存取的風險。她指出,企業並不知委外廠商的連線設備,是否會造成資安風險,也沒辦法從一個介面看見可能的風險與IoT狀況。
另外,很多組織一開始可能不太想上雲,但卻又不得不上雲,但面對組織這麼多服務,大量使用者時,如何進行控管、部署,又避免雲侵害、雲倦怠?
而「警報多,不見得是好事。」許雅玲說,資安人員面對一大堆警報,可能伴隨著焦慮與壓力,最終出現人員倦怠。
金融資安行動方案
此外,許雅玲提及金融業資安規範中,建置資安監控機制與零信任部署。
她說,現行環境已有許多限縮(Deny)和特定允許(Allow),只要有問題的絕對限縮,但在允許部分卻有風險,因聯網設備是否安全,是否合法,組織並不知道。
零信任部署上也有其挑戰。許雅玲說,每個節點不論什麼身份,都是平等零信任節點,困難的部分在於系統必需對外,儘管Zero Trust建議全加密,但在實務上卻非常困難。
Vectra AI:資安諸葛亮
2010年成立的Vectra,其網路安全平台Cognito,利用AI即時監測,自動阻止潛藏的網路攻擊者,結合資料科學、機器學習和網路行為分析,識別網路惡意行為特徵的模式。目前Vectra擁有13項美國專利,也是獨家擁有專利的網路偵測與回應(NDR)公司。
活動中,許雅玲引用電影「赤壁」經典的草船借箭橋段。她說,諸葛亮為何知當船行時會出現濃霧,因他熟知天文與氣象,「我們用這樣的概念,利用過去學習的經驗模擬專家想法,協助組織解決問題。」
利用封包(Packets)跟日誌(Log)兩個管道得出準確警告,平台上出現的警告,是結合當時事件及其封包與日誌進行分析所得,組織可在同一個介面上查看。
透過配對研究與科學豐富數據,可偵測覆蓋MITRE ATT&CK安全框架90%攻擊行為,資安分析師也可大幅縮短網站攻擊流量分析時間,將SOC Level-1中的工作負載減少34倍。
Vectra 可偵測覆蓋MITRE ATT&CK安全框架90%攻擊行為。
許雅玲說,運用AI模式,是希望透過AI模擬攻擊者思維分析,將駭客可能使用的攻擊手法進行整合,運用AI提高檢測效能,作所有威脅事件與歷史案件關聯性串連,把得到的結果進一步進行分析與風險評估,最後將最重要的情報提供給客戶,降低分析師的倦怠問題。