ChatGPT和生成式AI強(qiáng)化零信任的10種方式

網(wǎng)絡(luò)安全CEO從客戶處得到的反饋如何?

在2023年RSA大會(huì)上接受采訪的網(wǎng)絡(luò)安全提供商的CEO表示，他們的企業(yè)客戶認(rèn)可ChatGPT在改善網(wǎng)絡(luò)安全方面的價(jià)值，同時(shí)也表達(dá)了對(duì)機(jī)密數(shù)據(jù)和知識(shí)產(chǎn)權(quán)意外泄露風(fēng)險(xiǎn)的擔(dān)憂。云安全聯(lián)盟（CSA）在會(huì)議期間發(fā)布了有史以來(lái)第一份ChatGPT指導(dǎo)文件，呼吁業(yè)界改善人工智能路線圖。

NextDLP的CEO Connie Stack介紹稱，她的公司調(diào)查了Next客戶對(duì)ChatGPT的使用情況，發(fā)現(xiàn)97%的大型企業(yè)都發(fā)現(xiàn)其員工使用該工具。Next的Reveal平臺(tái)上有10%的終端訪問(wèn)了ChatGPT。

在2023年RSA大會(huì)的一次采訪中，Stack表示，“這種水平的ChatGPT使用率是我們的一些客戶在評(píng)估這種新的數(shù)據(jù)丟失載體時(shí)十分關(guān)注的問(wèn)題。一些Next的客戶選擇直接禁用它，其中包括一家醫(yī)療保健公司，該公司無(wú)法接受向面向公眾的生成式大型語(yǔ)言模型泄露知識(shí)產(chǎn)權(quán)和商業(yè)秘密的任何風(fēng)險(xiǎn)。其他公司對(duì)潛在的好處持開(kāi)放態(tài)度，并選擇謹(jǐn)慎地使用ChatGPT來(lái)支持諸如增強(qiáng)數(shù)據(jù)丟失‘威脅搜索’和支持安全相關(guān)內(nèi)容創(chuàng)建之類的事情?！?/p>

構(gòu)建新的網(wǎng)絡(luò)安全肌肉記憶

生成式AI技術(shù)有可能提高威脅分析師、威脅獵人和安全運(yùn)營(yíng)中心（SOC）員工的學(xué)習(xí)和工作效率，這是網(wǎng)絡(luò)安全廠商爭(zhēng)先恐后采用ChatGPT等生成式AI工具的主要?jiǎng)恿?。持續(xù)的學(xué)習(xí)需要深入到企業(yè)的威脅防御中，這樣他們就可以依靠“肌肉記憶”來(lái)適應(yīng)、響應(yīng)并在入侵企圖開(kāi)始之前消滅它。

2023年RSA大會(huì)上討論最多的話題當(dāng)屬新發(fā)布的ChatGPT產(chǎn)品和集成。

在宣布推出新產(chǎn)品和集成的20家供應(yīng)商中，最值得注意的是Airgap Networks、Google Security AI Workbench、Microsoft Security Copilot（在展會(huì)前推出）、Recorded Future、Security Scorecard和SentinelOne。

其中Airgap的零信任防火墻（ZTFW）與ThreatGPT尤其值得關(guān)注。它被設(shè)計(jì)為通過(guò)在網(wǎng)絡(luò)核心中添加專用的微分段和訪問(wèn)層來(lái)補(bǔ)充現(xiàn)有的外圍防火墻基礎(chǔ)設(shè)施。Airgap的CEO Ritesh Agrawal表示，“憑借高度準(zhǔn)確的資產(chǎn)發(fā)現(xiàn)、無(wú)代理微分段和安全訪問(wèn)，Airgap為應(yīng)對(duì)不斷變化的威脅提供了豐富的情報(bào)。客戶現(xiàn)在需要的是一種無(wú)需任何編程即可輕松利用這種功能的方法。這就是ThreatGPT的美妙之處——人工智能的純粹數(shù)據(jù)挖掘智能與簡(jiǎn)單的自然語(yǔ)言界面相結(jié)合。這對(duì)安全團(tuán)隊(duì)來(lái)說(shuō)將是游戲規(guī)則的改變者。”

在20家零信任初創(chuàng)公司中，Airgap被認(rèn)為是“最具創(chuàng)新性的工程和產(chǎn)品開(kāi)發(fā)團(tuán)隊(duì)”之一。Airgap的ThreatGPT結(jié)合了圖形數(shù)據(jù)庫(kù)和GPT-3模型，提供了以前無(wú)法獲得的網(wǎng)絡(luò)安全洞察力。該公司配置GPT-3模型來(lái)分析自然語(yǔ)言查詢并識(shí)別潛在的安全威脅，同時(shí)集成圖形數(shù)據(jù)庫(kù)以提供端點(diǎn)之間流量關(guān)系的上下文智能。

ChatGPT強(qiáng)化零信任的方式

生成式AI增強(qiáng)零信任的一種方式是識(shí)別和加強(qiáng)企業(yè)最脆弱的威脅表面。今年早些時(shí)候，零信任的創(chuàng)造者John Kindervag在接受采訪時(shí)建議，“你要從一個(gè)受保護(hù)的表面開(kāi)始”，并談到了他所謂的“零信任學(xué)習(xí)曲線。你沒(méi)有從技術(shù)入手，這就是誤解?！?/p>

以下是生成式AI加強(qiáng)NIST 800-207標(biāo)準(zhǔn)中定義的零信任核心框架的潛在方法：

1.在企業(yè)層面統(tǒng)一并學(xué)習(xí)威脅分析和事件響應(yīng)

首席信息安全官（CISO）們希望整合自己的技術(shù)堆棧，因?yàn)樵谕{分析、事件響應(yīng)和警報(bào)系統(tǒng)方面存在太多相互沖突的系統(tǒng)，而SOC分析師不確定什么是最緊迫的。生成式AI和ChatGPT已經(jīng)被證明是整合應(yīng)用程序的強(qiáng)大工具。它們最終將為CISO提供跨基礎(chǔ)設(shè)施的威脅分析和事件響應(yīng)的單一視圖。

2.通過(guò)持續(xù)監(jiān)控更快識(shí)別基于身份的內(nèi)部和外部入侵企圖

零信任的核心是身份。生成式AI有可能快速識(shí)別給定身份的活動(dòng)是否與其之前的歷史一致。

CISO們認(rèn)為，需要阻止的最具挑戰(zhàn)性的入侵行為通常是從內(nèi)部開(kāi)始的，利用的是合法的身份和憑據(jù)。

LLM（大語(yǔ)言模型）的核心優(yōu)勢(shì)之一是能夠根據(jù)小樣本量發(fā)現(xiàn)數(shù)據(jù)中的異常。這非常適合保護(hù)IAM、PAM和Active Directories。事實(shí)證明，LLM在分析用戶訪問(wèn)日志和檢測(cè)可疑活動(dòng)方面是有效的。

3.克服微分段最具挑戰(zhàn)性的障礙

正確進(jìn)行微分段面臨的諸多挑戰(zhàn)可能會(huì)導(dǎo)致大型微分段項(xiàng)目拖延數(shù)月甚至數(shù)年。雖然網(wǎng)絡(luò)微分段旨在隔離企業(yè)網(wǎng)絡(luò)中定義的分段，但它鮮少是一勞永逸的任務(wù)。

生成式AI可以通過(guò)確定如何在不中斷系統(tǒng)和資源訪問(wèn)的情況下最好地引入微分段方案來(lái)提供幫助。最重要的是，它可以潛在地減少不良微分段項(xiàng)目在IT服務(wù)管理系統(tǒng)中創(chuàng)建的數(shù)以千計(jì)的故障單。

4.解決管理和保護(hù)端點(diǎn)及身份面臨的安全挑戰(zhàn)

攻擊者一直在尋找端點(diǎn)安全和身份管理之間的漏洞。生成式AI和ChatGPT可以幫助解決這個(gè)問(wèn)題，為威脅獵人提供他們所需的情報(bào)，讓他們知道哪些端點(diǎn)最容易被攻破。

為了強(qiáng)化安全響應(yīng)的“肌肉記憶”，特別是當(dāng)涉及到端點(diǎn)時(shí)，生成式AI可以用來(lái)不斷學(xué)習(xí)攻擊者試圖滲透端點(diǎn)的方式、目標(biāo)點(diǎn)以及他們?cè)噲D使用的身份。

5.將最低特權(quán)訪問(wèn)提升到一個(gè)全新的水平

將生成式AI應(yīng)用于通過(guò)身份、系統(tǒng)和時(shí)間長(zhǎng)度限制對(duì)資源的訪問(wèn)是最強(qiáng)大的零信任AI增強(qiáng)用例之一。根據(jù)資源和權(quán)限配置文件向ChatGPT查詢審計(jì)數(shù)據(jù)可為系統(tǒng)管理員和SOC團(tuán)隊(duì)每年節(jié)省數(shù)千小時(shí)。

最低權(quán)限訪問(wèn)的核心部分是刪除過(guò)時(shí)的帳戶。Ivanti的《2023年安全準(zhǔn)備狀況報(bào)告》發(fā)現(xiàn)，45%的企業(yè)懷疑前員工和承包商仍然可以主動(dòng)訪問(wèn)公司的系統(tǒng)和文件。

Ivanti的首席產(chǎn)品官Srinivas Mukkamala博士指出，“大型企業(yè)往往沒(méi)有考慮到龐大的應(yīng)用程序、平臺(tái)和第三方服務(wù)生態(tài)系統(tǒng)，這些應(yīng)用程序、平臺(tái)和第三方服務(wù)授予的訪問(wèn)權(quán)限遠(yuǎn)遠(yuǎn)超過(guò)員工的任期。我們稱這些為‘僵尸憑證’，數(shù)量驚人的安全專業(yè)人員，甚至是高層管理人員，仍然可以訪問(wèn)前雇主的系統(tǒng)和數(shù)據(jù)。”

6.微調(diào)行為分析、風(fēng)險(xiǎn)評(píng)分以及安全角色的實(shí)時(shí)調(diào)整

生成式AI和ChatGPT將使SOC分析師和團(tuán)隊(duì)能夠更快地掌握行為分析和風(fēng)險(xiǎn)評(píng)分發(fā)現(xiàn)的異常情況。然后，他們可以立即阻止?jié)撛诠粽咴噲D進(jìn)行的任何橫向移動(dòng)。僅通過(guò)風(fēng)險(xiǎn)評(píng)分定義特權(quán)訪問(wèn)將過(guò)時(shí)，生成式AI會(huì)將請(qǐng)求置于上下文中，并向其算法發(fā)送警報(bào)以識(shí)別潛在威脅。

7.改進(jìn)的實(shí)時(shí)分析、報(bào)告和可見(jiàn)性，幫助阻止在線欺詐

大多數(shù)成功的零信任計(jì)劃都是建立在數(shù)據(jù)集成基礎(chǔ)之上的，后者匯總和報(bào)告實(shí)時(shí)分析、報(bào)告和可見(jiàn)性。企業(yè)可將這些數(shù)據(jù)用于訓(xùn)練生成式AI模型，向SOC的威脅獵人和分析師提供前所未有的見(jiàn)解。

在阻止電子商務(wù)欺詐方面，其結(jié)果將是可以立即衡量的，因?yàn)楣粽邥?huì)以無(wú)法跟上攻擊步伐的電子商務(wù)系統(tǒng)為目標(biāo)。具有ChatGPT訪問(wèn)歷史數(shù)據(jù)的威脅分析人員將立即知道標(biāo)記的交易是否合法。

8.改進(jìn)情境感知訪問(wèn)，增強(qiáng)細(xì)粒度訪問(wèn)控制

零信任的另一個(gè)核心組件是基于身份、資產(chǎn)和端點(diǎn)的訪問(wèn)控制粒度。尋求生成式AI來(lái)創(chuàng)建全新的工作流程，可以更準(zhǔn)確地檢測(cè)網(wǎng)絡(luò)流量模式、用戶行為和上下文智能的組合，從而根據(jù)身份、角色建議策略更改。威脅獵人、SOC分析師和欺詐分析師將在幾秒鐘內(nèi)了解每個(gè)被濫用的特權(quán)訪問(wèn)憑據(jù)，并能夠通過(guò)簡(jiǎn)單的ChatGPT命令限制所有訪問(wèn)。

9.強(qiáng)化配置和合規(guī)性，使其更加符合零信任標(biāo)準(zhǔn)

ChatGPT所基于的LLM模型已被證明在改進(jìn)異常檢測(cè)和簡(jiǎn)化欺詐檢測(cè)方面是有效的。該領(lǐng)域的下一步是利用ChatGPT模型來(lái)自動(dòng)化訪問(wèn)策略和用戶組創(chuàng)建，并隨時(shí)了解模型生成的實(shí)時(shí)數(shù)據(jù)的合規(guī)性。ChatGPT將極大提高配置管理、風(fēng)險(xiǎn)治理和合規(guī)性報(bào)告的工作效率。

10.限制網(wǎng)絡(luò)釣魚(yú)攻擊的半徑

這是攻擊者賴以生存的威脅表面——用社交工程手段誘騙受害者支付大筆現(xiàn)金。ChatGPT已被證明在自然語(yǔ)言處理（NLP）方面非常有效，并且與其LLM相結(jié)合，可以有效地檢測(cè)電子郵件中的異常文本模式。這些模式通常是商業(yè)電子郵件入侵（BEC）欺詐的標(biāo)志。ChatGPT還可以檢測(cè)識(shí)別AI生成的電子郵件并將其發(fā)送到隔離區(qū)。生成式AI正被用于開(kāi)發(fā)下一代網(wǎng)絡(luò)彈性平臺(tái)和檢測(cè)系統(tǒng)。

專注于將零信任的劣勢(shì)轉(zhuǎn)化為優(yōu)勢(shì)

ChatGPT和生成式AI可以通過(guò)加強(qiáng)企業(yè)零信任安全的“肌肉記憶”來(lái)應(yīng)對(duì)不斷變化的威脅情報(bào)和安全知識(shí)的挑戰(zhàn)。是時(shí)候?qū)⑦@些技術(shù)視為學(xué)習(xí)系統(tǒng)了，通過(guò)記錄和檢測(cè)所有網(wǎng)絡(luò)流量、限制和控制訪問(wèn)以及驗(yàn)證和保護(hù)網(wǎng)絡(luò)資源，幫助企業(yè)不斷提高其網(wǎng)絡(luò)安全自動(dòng)化水平和人力技能，以抵御外部和內(nèi)部威脅。