网络罪犯现在拥有比以往更强大的工具来破坏环境和威胁企业。他们利用生成式人工智能(GenAI)来更快地安装勒索软件;深度伪造社会工程学攻击;廉价但先进的精准钓鱼攻击;复杂的编码能力;甚至有地下勒索软件一站式服务商铺。
如此广泛的AI辅助武器库可能会让安全运营人员感到无助。安全团队通常资金和人员不足,必须全天候防御来自各个途径的所有攻击。他们需要调查每一个警报,无论看起来多么无关紧要,都将其视为潜在威胁。要跟上步伐,就必须以毒攻毒:雇佣GenAI来快速行动,用少量员工应对艰巨挑战。
为了调查每一个警报,公司现在可以使用由GenAI驱动的工具,通过提出正确的问题并以亚秒级的数据检索时间生成答案,来自动化调查过程。用GenAI增强安全性的潜力很高:最近Trellix的一项研究发现,91%的首席信息安全官对GenAI和AI为其组织带来的前景和机遇感到兴奋。
利用GenAI安全防御GenAI网络犯罪的第一步是创建一个可防御的环境:一个配备检测系统的基础架构,让我们能够看到诸如勒索软件等重大威胁所在。
构建这种环境涉及三道防线:检测、调查和响应。
检测
检测和预防工具会提醒安全团队注意攻击或入侵,包括终端保护、网络检测、反垃圾邮件和事件异常检测。
此类安全控制措施可能会在攻击发生之前将其阻止,但有动机或幸运的攻击者可能会绕过这种初步预防措施。因此,使用范围广泛的安全工具来覆盖尽可能多的进入环境的途径至关重要。
防御者至少必须能够阻止恶意文件、URL和电子邮件。这些保护通常可以阻挡99%的攻击。但剩下的1%仍然是一个巨大的问题。
调查
在触发事件后,防御者需要正确的背景信息来证明发生了什么。但很难预先知道在评估安全事件时什么会有价值。
防御者需要尽可能多的来源数据,包括:
- 用户身份验证审计记录
- 账户权限变更审计记录
- 网络连接
- 代理和URL记录
- 关键业务应用程序遥测数据
- 云基础设施审计日志
- 目录和人员信息
- 所有可用工具的安全警报
能够访问这些信息是不够的。这些数据需要集中和索引,以便于检测工具识别,并能立即以编程方式获取。准备这种数据基础设施虽然艰巨,但对于创建一个可防御的环境至关重要。
响应
检测必须导致行动——补救措施,以防止勒索软件的蔓延。这意味着以编程方式改变环境,通过网络防火墙策略、终端隔离操作、登录禁用或身份和访问权限变更等手段,来隔离、封锁或遏制威胁分子。
使用生成式AI自动化调查
为了跟上勒索软件的步伐,检测、调查和响应必须通过GenAI自动化,由AI承担大部分调查工作。
防御者如何利用这种强大的技术将这些战略性防御组件联系在一起?
答案在于使用预先构建的调查框架,确保GenAI在调查时有所依归,在遇到给定安全警报后会提出一系列预先定义的关键问题。
这些问题所产生的答案质量,完全取决于问题本身的质量。这就是拥有全面的安全遥测数据如此重要的原因,它可以快速准确地为AI驱动的调查提供必要的上下文。如果没有这些问题和答案,AI除了原始警报外,几乎没有其他可调查的内容。
AI初级分析员
假设一个安全信息和事件管理(SIEM)系统针对一个可识别的IP地址对应用程序的登录系统发起的暴力破解攻击发出警报:
警报:对192.168.0.1的暴力破解攻击被检测到
标准的SIEM系统可能会识别出暴力破解尝试后的登录行为并发出警报。但基于数十亿事件的AI驱动调查可以走得更远,像一个虚拟的初级分析员那样采取战术行动,向环境提出一系列问题:
- 这个用户拥有什么级别的访问权限?
- 这个用户通常多久访问一次这个环境?
- 在此期间是否创建了任何其他可疑账户?
- 在攻击发生时,这个用户是否不在办公室?
更令人印象深刻的是,这个"AI初级分析员"可以像人类一样进行推理。它能够理解主机名"prod-iowa-dc"可能是艾奥瓦州的生产域控制器,并利用这一信息考虑其他数据:登录模式、访问了哪些URL,或者其他安全工具发出的任何其他警报。
将AI用于客户影响
网络安全咨询公司Cyberuptive希望在员工人数不变的情况下,扩大其托管安全服务提供商(MSSP)项目,以获取更多客户。为此,它需要扩展现有的人工安全程序,提高威胁检测和响应的效率。
认识到调查需要先进的自动化,Cyberuptive努力简化流程,以更快更有效地应对新出现的威胁。
在调查过程中使用Trellix Wise的生成式AI——这是一种跨Trellix XDR平台提供的超自动化功能,基于亚马逊Bedrock构建——该公司缩短了响应时间,提高了事件解决效率,增强了整体安全态势。生成式AI使Cyberuptive能够为客户提供卓越的支持、高效的响应时间和前沿的威胁情报,从而在竞争激烈的市场中脱颖而出。
凭借生成式AI扩展员工规模以调查每一个警报,组织的防御者可以以同样出色的水准捕获威胁行为者——避免成为网络犯罪的牺牲品。
441
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
