在2023年RSA大會上接受采訪的網(wǎng)絡(luò)安全提供商的CEO表示，他們的企業(yè)客戶認(rèn)可ChatGPT在改善網(wǎng)絡(luò)安全方面的價值，同時也表達(dá)了對機(jī)密數(shù)據(jù)和知識產(chǎn)權(quán)意外泄露風(fēng)險的擔(dān)憂。
　　網(wǎng)絡(luò)安全CEO從客戶處得到的反饋如何?

　　在2023年RSA大會上接受采訪的網(wǎng)絡(luò)安全提供商的CEO表示，他們的企業(yè)客戶認(rèn)可ChatGPT在改善網(wǎng)絡(luò)安全方面的價值，同時也表達(dá)了對機(jī)密數(shù)據(jù)和知識產(chǎn)權(quán)意外泄露風(fēng)險的擔(dān)憂。云安全聯(lián)盟(CSA)在會議期間發(fā)布了有史以來第一份ChatGPT指導(dǎo)文件，呼吁業(yè)界改善人工智能路線圖。

　　NextDLP的CEOConnieStack介紹稱，她的公司調(diào)查了Next客戶對ChatGPT的使用情況，發(fā)現(xiàn)97%的大型企業(yè)都發(fā)現(xiàn)其員工使用該工具。Next的Reveal平臺上有10%的終端訪問了ChatGPT。

　　在2023年RSA大會的一次采訪中，Stack表示，“這種水平的ChatGPT使用率是我們的一些客戶在評估這種新的數(shù)據(jù)丟失載體時十分關(guān)注的問題。一些Next的客戶選擇直接禁用它，其中包括一家醫(yī)療保健公司，該公司無法接受向面向公眾的生成式大型語言模型泄露知識產(chǎn)權(quán)和商業(yè)秘密的任何風(fēng)險。其他公司對潛在的好處持開放態(tài)度，并選擇謹(jǐn)慎地使用ChatGPT來支持諸如增強(qiáng)數(shù)據(jù)丟失‘威脅搜索’和支持安全相關(guān)內(nèi)容創(chuàng)建之類的事情。”

　　構(gòu)建新的網(wǎng)絡(luò)安全肌肉記憶

　　生成式AI技術(shù)有可能提高威脅分析師、威脅獵人和安全運(yùn)營中心(SOC)員工的學(xué)習(xí)和工作效率，這是網(wǎng)絡(luò)安全廠商爭先恐后采用ChatGPT等生成式AI工具的主要動力。持續(xù)的學(xué)習(xí)需要深入到企業(yè)的威脅防御中，這樣他們就可以依靠“肌肉記憶”來適應(yīng)、響應(yīng)并在入侵企圖開始之前消滅它。

　　2023年RSA大會上討論最多的話題當(dāng)屬新發(fā)布的ChatGPT產(chǎn)品和集成。

　　在宣布推出新產(chǎn)品和集成的20家供應(yīng)商中，最值得注意的是AirgapNetworks、GoogleSecurityAIWorkbench、MicrosoftSecurityCopilot(在展會前推出)、RecordedFuture、SecurityScorecard和SentinelOne。

　　其中Airgap的零信任防火墻(ZTFW)與ThreatGPT尤其值得關(guān)注。它被設(shè)計為通過在網(wǎng)絡(luò)核心中添加專用的微分段和訪問層來補(bǔ)充現(xiàn)有的外圍防火墻基礎(chǔ)設(shè)施。Airgap的CEORiteshAgrawal表示，“憑借高度準(zhǔn)確的資產(chǎn)發(fā)現(xiàn)、無代理微分段和安全訪問，Airgap為應(yīng)對不斷變化的威脅提供了豐富的情報。客戶現(xiàn)在需要的是一種無需任何編程即可輕松利用這種功能的方法。這就是ThreatGPT的美妙之處——人工智能的純粹數(shù)據(jù)挖掘智能與簡單的自然語言界面相結(jié)合。這對安全團(tuán)隊來說將是游戲規(guī)則的改變者。”

　　在20家零信任初創(chuàng)公司中，Airgap被認(rèn)為是“最具創(chuàng)新性的工程和產(chǎn)品開發(fā)團(tuán)隊”之一。Airgap的ThreatGPT結(jié)合了圖形數(shù)據(jù)庫和GPT-3模型，提供了以前無法獲得的網(wǎng)絡(luò)安全洞察力。該公司配置GPT-3模型來分析自然語言查詢并識別潛在的安全威脅，同時集成圖形數(shù)據(jù)庫以提供端點(diǎn)之間流量關(guān)系的上下文智能。

　　ChatGPT強(qiáng)化零信任的方式

　　生成式AI增強(qiáng)零信任的一種方式是識別和加強(qiáng)企業(yè)最脆弱的威脅表面。今年早些時候，零信任的創(chuàng)造者JohnKindervag在接受采訪時建議，“你要從一個受保護(hù)的表面開始”，并談到了他所謂的“零信任學(xué)習(xí)曲線。你沒有從技術(shù)入手，這就是誤解。”

　　以下是生成式AI加強(qiáng)NIST800-207標(biāo)準(zhǔn)中定義的零信任核心框架的潛在方法：

　　1、在企業(yè)層面統(tǒng)一并學(xué)習(xí)威脅分析和事件響應(yīng)

　　首席信息安全官(CISO)們希望整合自己的技術(shù)堆棧，因?yàn)樵谕{分析、事件響應(yīng)和警報系統(tǒng)方面存在太多相互沖突的系統(tǒng)，而SOC分析師不確定什么是最緊迫的。生成式AI和ChatGPT已經(jīng)被證明是整合應(yīng)用程序的強(qiáng)大工具。它們最終將為CISO提供跨基礎(chǔ)設(shè)施的威脅分析和事件響應(yīng)的單一視圖。

　　2、通過持續(xù)監(jiān)控更快識別基于身份的內(nèi)部和外部入侵企圖

　　零信任的核心是身份。生成式AI有可能快速識別給定身份的活動是否與其之前的歷史一致。

　　CISO們認(rèn)為，需要阻止的最具挑戰(zhàn)性的入侵行為通常是從內(nèi)部開始的，利用的是合法的身份和憑據(jù)。

　　LLM(大語言模型)的核心優(yōu)勢之一是能夠根據(jù)小樣本量發(fā)現(xiàn)數(shù)據(jù)中的異常。這非常適合保護(hù)IAM、PAM和ActiveDirectories。事實(shí)證明，LLM在分析用戶訪問日志和檢測可疑活動方面是有效的。

　　3、克服微分段最具挑戰(zhàn)性的障礙

　　正確進(jìn)行微分段面臨的諸多挑戰(zhàn)可能會導(dǎo)致大型微分段項目拖延數(shù)月甚至數(shù)年。雖然網(wǎng)絡(luò)微分段旨在隔離企業(yè)網(wǎng)絡(luò)中定義的分段，但它鮮少是一勞永逸的任務(wù)。

　　生成式AI可以通過確定如何在不中斷系統(tǒng)和資源訪問的情況下最好地引入微分段方案來提供幫助。最重要的是，它可以潛在地減少不良微分段項目在IT服務(wù)管理系統(tǒng)中創(chuàng)建的數(shù)以千計的故障單。

　　4、解決管理和保護(hù)端點(diǎn)及身份面臨的安全挑戰(zhàn)

　　攻擊者一直在尋找端點(diǎn)安全和身份管理之間的漏洞。生成式AI和ChatGPT可以幫助解決這個問題，為威脅獵人提供他們所需的情報，讓他們知道哪些端點(diǎn)最容易被攻破。

　　為了強(qiáng)化安全響應(yīng)的“肌肉記憶”，特別是當(dāng)涉及到端點(diǎn)時，生成式AI可以用來不斷學(xué)習(xí)攻擊者試圖滲透端點(diǎn)的方式、目標(biāo)點(diǎn)以及他們試圖使用的身份。

　　5、將最低特權(quán)訪問提升到一個全新的水平

　　將生成式AI應(yīng)用于通過身份、系統(tǒng)和時間長度限制對資源的訪問是最強(qiáng)大的零信任AI增強(qiáng)用例之一。根據(jù)資源和權(quán)限配置文件向ChatGPT查詢審計數(shù)據(jù)可為系統(tǒng)管理員和SOC團(tuán)隊每年節(jié)省數(shù)千小時。

　　最低權(quán)限訪問的核心部分是刪除過時的帳戶。Ivanti的《2023年安全準(zhǔn)備狀況報告》發(fā)現(xiàn)，45%的企業(yè)懷疑前員工和承包商仍然可以主動訪問公司的系統(tǒng)和文件。

　　Ivanti的首席產(chǎn)品官SrinivasMukkamala博士指出，“大型企業(yè)往往沒有考慮到龐大的應(yīng)用程序、平臺和第三方服務(wù)生態(tài)系統(tǒng)，這些應(yīng)用程序、平臺和第三方服務(wù)授予的訪問權(quán)限遠(yuǎn)遠(yuǎn)超過員工的任期。我們稱這些為‘僵尸憑證’，數(shù)量驚人的安全專業(yè)人員，甚至是高層管理人員，仍然可以訪問前雇主的系統(tǒng)和數(shù)據(jù)。”

　　6、微調(diào)行為分析、風(fēng)險評分以及安全角色的實(shí)時調(diào)整

　　生成式AI和ChatGPT將使SOC分析師和團(tuán)隊能夠更快地掌握行為分析和風(fēng)險評分發(fā)現(xiàn)的異常情況。然后，他們可以立即阻止?jié)撛诠粽咴噲D進(jìn)行的任何橫向移動。僅通過風(fēng)險評分定義特權(quán)訪問將過時，生成式AI會將請求置于上下文中，并向其算法發(fā)送警報以識別潛在威脅。

　　7、改進(jìn)的實(shí)時分析、報告和可見性，幫助阻止在線欺詐

　　大多數(shù)成功的零信任計劃都是建立在數(shù)據(jù)集成基礎(chǔ)之上的，后者匯總和報告實(shí)時分析、報告和可見性。企業(yè)可將這些數(shù)據(jù)用于訓(xùn)練生成式AI模型，向SOC的威脅獵人和分析師提供前所未有的見解。

　　在阻止電子商務(wù)欺詐方面，其結(jié)果將是可以立即衡量的，因?yàn)楣粽邥詿o法跟上攻擊步伐的電子商務(wù)系統(tǒng)為目標(biāo)。具有ChatGPT訪問歷史數(shù)據(jù)的威脅分析人員將立即知道標(biāo)記的交易是否合法。

　　8、改進(jìn)情境感知訪問，增強(qiáng)細(xì)粒度訪問控制

　　零信任的另一個核心組件是基于身份、資產(chǎn)和端點(diǎn)的訪問控制粒度。尋求生成式AI來創(chuàng)建全新的工作流程，可以更準(zhǔn)確地檢測網(wǎng)絡(luò)流量模式、用戶行為和上下文智能的組合，從而根據(jù)身份、角色建議策略更改。威脅獵人、SOC分析師和欺詐分析師將在幾秒鐘內(nèi)了解每個被濫用的特權(quán)訪問憑據(jù)，并能夠通過簡單的ChatGPT命令限制所有訪問。

　　9、強(qiáng)化配置和合規(guī)性，使其更加符合零信任標(biāo)準(zhǔn)

　　ChatGPT所基于的LLM模型已被證明在改進(jìn)異常檢測和簡化欺詐檢測方面是有效的。該領(lǐng)域的下一步是利用ChatGPT模型來自動化訪問策略和用戶組創(chuàng)建，并隨時了解模型生成的實(shí)時數(shù)據(jù)的合規(guī)性。ChatGPT將極大提高配置管理、風(fēng)險治理和合規(guī)性報告的工作效率。

　　10、限制網(wǎng)絡(luò)釣魚攻擊的半徑

　　這是攻擊者賴以生存的威脅表面——用社交工程手段誘騙受害者支付大筆現(xiàn)金。ChatGPT已被證明在自然語言處理(NLP)方面非常有效，并且與其LLM相結(jié)合，可以有效地檢測電子郵件中的異常文本模式。這些模式通常是商業(yè)電子郵件入侵(BEC)欺詐的標(biāo)志。ChatGPT還可以檢測識別AI生成的電子郵件并將其發(fā)送到隔離區(qū)。生成式AI正被用于開發(fā)下一代網(wǎng)絡(luò)彈性平臺和檢測系統(tǒng)。

　　專注于將零信任的劣勢轉(zhuǎn)化為優(yōu)勢

　　ChatGPT和生成式AI可以通過加強(qiáng)企業(yè)零信任安全的“肌肉記憶”來應(yīng)對不斷變化的威脅情報和安全知識的挑戰(zhàn)。是時候?qū)⑦@些技術(shù)視為學(xué)習(xí)系統(tǒng)了，通過記錄和檢測所有網(wǎng)絡(luò)流量、限制和控制訪問以及驗(yàn)證和保護(hù)網(wǎng)絡(luò)資源，幫助企業(yè)不斷提高其網(wǎng)絡(luò)安全自動化水平和人力技能，以抵御外部和內(nèi)部威脅。