AI在威脅狩獵中的應用也不例外——它功能強大,但并非包治百病的良藥。
不久前,許多公司出于對數(shù)據(jù)泄露和生產(chǎn)效率風險的擔憂,直接禁止使用ChatGPT等工具。開玩笑的,現(xiàn)在很多公司依然這么做。
然而,時光飛逝,一年后的今天,CISO開始嘗試利用自主式AI實現(xiàn)工作流程自動化,并填補技能缺口。與此同時,攻擊者也沒閑著,他們利用AI優(yōu)化網(wǎng)絡釣魚誘餌、生成深度偽造內(nèi)容,甚至編寫數(shù)據(jù)勒索攻擊的部分腳本。
但有一個重要區(qū)別:在攻擊中使用AI完成單個步驟,與AI主導整個攻擊行動截然不同。那種AI驅動的殺傷鏈超越人類防御者的設想,目前仍只是科幻而非現(xiàn)實。就目前而言,最有趣的情況發(fā)生在防御者一方,AI開始在人類主導的威脅狩獵中扮演實用的“副駕駛”角色。
現(xiàn)實框架:TaHiTI
AI在威脅狩獵中新興作用最有趣的方面之一,是英特爾471公司發(fā)布的報告,詳細介紹了他們?nèi)绾芜\用TaHiTI(Targeted Hunting integrating Threat Intelligence,即結合威脅情報的目標狩獵)來簡化和自動化威脅狩獵流程,該框架在金融領域開發(fā),將狩獵過程分為三個階段:啟動、狩獵和收尾。它不依賴于特定供應商,為原本可能混亂無序的工作提供了結構框架。
英特爾471的高級威脅狩獵分析師Scott Poley指出,TaHiTI之所以有效,正是因為它反映了狩獵活動的周期性。你不能只測試一次假設——你需要不斷優(yōu)化它,在你的環(huán)境中運行,并反復迭代,直到區(qū)分出正常行為與真正的惡意行為。
AI可以加速這一過程,但它無法取代將理論與現(xiàn)實區(qū)分開來的機構知識。
智囊團,而非預言家
當你開始狩獵時,AI可以幫助你對假設進行壓力測試,或將戰(zhàn)術映射到MITRE ATT&CK框架。Poley告訴我,AI如今最大的優(yōu)勢之一在于假設開發(fā)和加速研究,它可以通過呈現(xiàn)資深分析師已認可的相關行為或技術,為初級分析師提供助力,從而彌合技能差距。
同時,他警告說,大型語言模型往往過于順從。為了讓AI保持誠實,他采用分步方法——先列出已知信息,然后讓模型驗證或挑戰(zhàn)這些信息。他說,這種對話式風格能帶來更好的見解,避免被誤導。
查詢、聚類與上下文
一旦深入其中,AI可以提供查詢模板,并比滾動搜索結果更快地指引你查閱文檔,這對初級分析師來說確實節(jié)省了時間,但Poley也指出,AI在語法或優(yōu)化方面常常表現(xiàn)不佳。他不得不親自糾正AI生成的查詢,并反饋正確的語法,而AI卻只是輕描淡寫地回應“這說得通”。
AI真正大放異彩的地方在于信息豐富化。威脅狩獵往往存在視野狹窄的風險——過分關注單個工件或路徑。AI可以幫助拓寬視野,將活動與相鄰的威脅行為者技術聯(lián)系起來,或者揭示PowerShell中獵人可能忽略的別名。Poley將此描述為將小勝轉化為更完整狩獵的上下文信息。
數(shù)據(jù)決定命運
這里有一個殘酷的事實:如果你的日志只保留30天或60天,AI只會放大這些數(shù)據(jù)缺口。英特爾471的另一位高級威脅狩獵分析師Lee Archinal解釋說,保留期短的終端檢測與響應(EDR)數(shù)據(jù)會使良性但罕見的行為(如每月打開一次Word)看起來像異常。具有更長歷史記錄的安全信息和事件管理(SIEM)系統(tǒng)更有幫助,但仍需要人工調(diào)整以區(qū)分真實威脅與統(tǒng)計噪聲。
Archinal強調(diào),最好將AI視為一種簡化任務的工具,而非人類專業(yè)知識的替代品。你仍然需要一位分析師,他了解何時應用信息豐富化、你的環(huán)境中哪些基線重要,以及如何區(qū)分用戶行為的怪癖與真正的安全威脅。
讓AI起草,讓人類決定
沒人喜歡寫報告。AI非常擅長整理結構化摘要,包括高管摘要和技術細節(jié)。如果處理得當,這種一致性可以減輕利益相關者的認知負擔,并加快向安全運營中心(SOC)、事件響應(IR)和漏洞管理團隊的交接速度。
這就是AI可以在不將組織置于風險之中的情況下,使威脅獵人更高效的地方。讓模型起草,然后讓人工編輯。
未來之路
展望未來,AI在回顧性分析和操作指南中的作用可能最具價值。用90天的日志數(shù)據(jù)對昨天的狩獵進行復盤,以發(fā)現(xiàn)趨勢或測試假設,這種繁重的工作正是為AI量身定制的。隨著時間的推移,這些歷史數(shù)據(jù)甚至可以訓練系統(tǒng)根據(jù)類似案例中的有效方法提出“下一步行動”。
但自動化應該反映人類的決策,而非取代它們。Poley給我舉了一個生動的例子:在事件中,禁用某個賬戶可能會阻止攻擊者——但如果時機不當,也可能會破壞核心業(yè)務流程,這是一個沒有人類監(jiān)督就不應由AI做出的決定。
有何啟示?AI將在威脅狩獵中長期存在,但它應該處于循環(huán)之中——而非觸發(fā)行動。利用它來擴展信息豐富化、聚類和報告功能。以TaHiTI等框架為支撐。最重要的是,將其視為“副駕駛”,而非“自動駕駛儀”。
攻擊者也在嘗試使用AI,但防御者有機會更負責任、更有效地利用它。區(qū)別將在于我們對其局限性的理解程度,以及我們在讓AI保持受控狀態(tài)方面的自律性。
