威脅情報與人工智能的碰撞

概述

備受全球信息安全行業(yè)矚目的RSA Conference2023近期于美國舊金山召開，本次會議繼續(xù)聚焦信息安全領(lǐng)域的前沿技術(shù)和熱點話題，研究行業(yè)趨勢和各種安全威脅，探討新興技術(shù)和最佳實踐，為從業(yè)者提供指導(dǎo)和參考，以應(yīng)對當(dāng)前和未來的網(wǎng)絡(luò)威脅。

今年的會議共有500余場高峰論壇、主題演講和研討會，涵蓋了多方面的熱點話題，除歷年備受關(guān)注的“創(chuàng)新沙盒大賽”外，還有如漏洞攻擊、高級持續(xù)威脅(APT)研究、安全分析/情報及響應(yīng)、黑客和威脅、云安全及運營、機器學(xué)習(xí)/人工智能及自動化等熱點話題。

(資料圖)

通過奇安信產(chǎn)業(yè)發(fā)展研究中心對近5年創(chuàng)新沙盒發(fā)展和變化的分析，除云安全、數(shù)據(jù)安全、軟件供應(yīng)鏈安全、身份安全四個熱門賽道熱度持續(xù)之外，智能應(yīng)用和自動化異軍突起。隨著ChatGPT風(fēng)靡全球，以及創(chuàng)新沙盒冠軍HiddenLayer的誕生，AI安全成功殺出重圍，似乎是一夜間就占據(jù)各大主流媒體的頭版頭條，成為炙手可熱的創(chuàng)新賽道。

創(chuàng)新沙盒2019-2023年十強賽道分析

自上個世紀(jì)起，依賴于規(guī)則引擎發(fā)展的“人工智能”就在不斷給我們的生活帶來驚喜和變革，直到其進入機器學(xué)習(xí)和深度學(xué)習(xí)階段，廣泛應(yīng)用于圖像識別、語音識別、自然語言處理等領(lǐng)域，開始不斷給對網(wǎng)絡(luò)安全產(chǎn)業(yè)帶來“驚喜”。如今，人工智能和機器學(xué)習(xí)技術(shù)已經(jīng)廣泛應(yīng)用在威脅情報、威脅檢測、響應(yīng)和修復(fù)等各個方面。

當(dāng)前的挑戰(zhàn)

今年的RSAC大會上，多位行業(yè)專家圍繞人工智能發(fā)表了主題演講，包括SentinelOne、谷歌云、IBM等在內(nèi)的眾多知名廠商都發(fā)布了基于生成式AI技術(shù)的網(wǎng)絡(luò)安全工具。

拋開“人工智能是否被過熱推崇”的爭論以及人工智能引發(fā)的“人工焦慮”不談，不得不承認(rèn)，人工智能確實又一次引發(fā)了新技術(shù)浪潮，根據(jù)IDC預(yù)測，2023年企業(yè)在人工智能技術(shù)上的投入將達到1540億美元，增長27%，暗示了今后人工智能巨大的市場需求。

當(dāng)今全球的網(wǎng)絡(luò)安全形勢變幻莫測，地緣政治因素引發(fā)的各種APT攻擊活動持續(xù)加劇，網(wǎng)絡(luò)威脅將更加智能化、復(fù)雜化、多樣化、全球化，因此，組織需要采用更加先進和綜合的安全措施，以應(yīng)對不斷增長的網(wǎng)絡(luò)威脅。同時，受宏觀經(jīng)濟的不確定性影響，導(dǎo)致眾多安全公司都在不同程度上削減網(wǎng)絡(luò)安全預(yù)算，失業(yè)率上升也增加了網(wǎng)絡(luò)犯罪的風(fēng)險。而據(jù)奇安信威脅情報中心預(yù)測，“2023年，受地緣政治沖突影響，APT攻擊活動持續(xù)加劇；對受害國本土軟件的漏洞利用愈加頻繁；瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施的破壞越發(fā)泛濫；各類新型釣魚攻擊活動將頻繁出現(xiàn)。”

近年來，人工智能技術(shù)通過與威脅情報的深度融合，可以極大地提高運營人員的分析效率、增強預(yù)測能力、提高精度和準(zhǔn)確性、實現(xiàn)自動化分析，這使得企業(yè)可以更快速地識別和應(yīng)對網(wǎng)絡(luò)安全威脅，降低運營成本，增強安全防御能力；Palo Alto Networks高級副總裁Kumar Ramachandran在RSAC2023的主題演講中稱，威脅格局正在不斷演變，利用機器學(xué)習(xí)可以阻止高達95%的未知威脅。

但二者的不斷發(fā)展也使得網(wǎng)絡(luò)安全面臨著諸多挑戰(zhàn)和威脅，人工智能技術(shù)助推了攻擊者不斷演化和更新攻擊手法，制定針對性的攻擊策略，并更加難以被發(fā)現(xiàn)和防御，大大降低了網(wǎng)絡(luò)犯罪的門檻。

SANS的安全專家在本次會議上分享了《五種最危險的新型攻擊技術(shù)》，對抗性人工智能攻擊和ChatGPT驅(qū)動的社會工程學(xué)攻擊被重點提及。在對抗性人工智能攻擊中，攻擊者可以操縱AI工具來加速勒索軟件活動，并可以識別復(fù)雜系統(tǒng)中的零日漏洞，從簡化惡意軟件編碼過程到普及社會工程，對抗性人工智能已經(jīng)改變了攻擊者的游戲規(guī)則。而風(fēng)光無兩的ChatGPT，也在逐步淪為攻擊者進行社工攻擊的一把利刃，SANS的研究員Heather Mahalik在交流中表示，這種發(fā)展意味著用戶現(xiàn)在比以往任何時候都更容易受到攻擊，只要誤點一個惡意文件，不僅會使整個公司面臨風(fēng)險，還會影響受害者的生活。

威脅情報與人工智能的融合效應(yīng)

在2023年RSAC大會上，谷歌云正式宣布推出行業(yè)首款由專業(yè)安全的Sec-PaLM大語言模型(LLM)驅(qū)動的可擴展平臺——Google Cloud Security AI Workbench，這種新型的安全模型包含了該公司威脅態(tài)勢洞察以及Mandiant關(guān)于漏洞、惡意軟件、威脅指標(biāo)和攻擊者信息的一線情報。谷歌云Security AI Workbench已經(jīng)為其多款新產(chǎn)品提供支持，解決其企業(yè)客戶的安全挑戰(zhàn)。

威脅情報與人工智能的深度融合，利不可拋，弊不可棄：

1.威脅情報的時效性和上下文信息

時效性和上下文信息是影響威脅情報實際應(yīng)用效果的兩個重要屬性，人工智能和機器學(xué)習(xí)技術(shù)的發(fā)展，改變了依靠人工獲取和處理威脅情報的傳統(tǒng)，通過算法和模型自動化地處理和分析大量的文本、語音和圖像等數(shù)據(jù)，自動識別數(shù)據(jù)中的關(guān)鍵信息，發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)中存在的漏洞，并快速提供分析報告和上下文信息，減少人力成本的同時，也極大的減少了漏報和誤報，威脅情報分析和處理的速度和準(zhǔn)確度得到了提高，進一步增強了威脅情報的時效性和有效性。

2.實時精準(zhǔn)的自動化檢測和響應(yīng)

目前人工智能技術(shù)已經(jīng)可以實現(xiàn)對海量數(shù)據(jù)（603138）源的數(shù)據(jù)進行監(jiān)控和分析，及時發(fā)現(xiàn)異常流量，快速識別和定位潛在威脅，通過機器學(xué)習(xí)算法對網(wǎng)絡(luò)數(shù)據(jù)進行自動分類和識別，并對識別出的惡意軟件和網(wǎng)絡(luò)攻擊進行自動化檢測和攔截，保護企業(yè)和組織網(wǎng)絡(luò)資產(chǎn)的安全。

3.風(fēng)險評估和風(fēng)險預(yù)測

人工智能技術(shù)可以通過數(shù)據(jù)挖掘和分析，快速識別和評估各種威脅，減少漏報和誤報。通過機器學(xué)習(xí)算法和模型分析網(wǎng)絡(luò)日志，發(fā)現(xiàn)異常行為，多個角度對未來的風(fēng)險進行分析，預(yù)測出未來可能的攻擊類型和攻擊目標(biāo)，提高決策的可靠性和準(zhǔn)確性，幫助企業(yè)和個人更好地制定應(yīng)對策略。例如，人工智能技術(shù)可以對網(wǎng)絡(luò)漏洞進行掃描和評估，預(yù)測漏洞被利用的可能性和影響范圍，從而提高漏洞修復(fù)的效率和準(zhǔn)確性。

4.無處不在的網(wǎng)絡(luò)攻擊和無法避免的漏報、誤報

隨著人工智能技術(shù)與威脅情報領(lǐng)域的融合越來越深入，其在威脅情報分析和應(yīng)用中的不利影響也越來越顯現(xiàn)：

1)人工智能雖然已經(jīng)大幅度減少了漏報誤報的可能，但因為人工智能算法的訓(xùn)練數(shù)據(jù)可能不夠全面或者存在偏差，導(dǎo)致算法出現(xiàn)錯誤的判斷，這就需要人工進行二次研判，以最大程度減少誤報。同時，人工智能處理威脅情報時，往往只能處理結(jié)構(gòu)化數(shù)據(jù)，而無法處理非結(jié)構(gòu)化數(shù)據(jù)，這就導(dǎo)致了信息不全面，從而產(chǎn)生漏報。

2)人工智能算法本身也存在著被攻擊的風(fēng)險，黑客可以通過注入惡意數(shù)據(jù)或攻擊算法模型，來干擾算法的判斷，從而影響威脅情報的分析結(jié)果。

3)伴隨著人工智能技術(shù)的發(fā)展，一些新型的攻擊方式也層出不窮，使得網(wǎng)絡(luò)攻擊更加普及和難以應(yīng)對。一些黑客可以利用機器學(xué)習(xí)算法進行網(wǎng)絡(luò)釣魚，還可以利用人工智能技術(shù)對網(wǎng)絡(luò)進行掃描，發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，對攻擊進行自適應(yīng)等。

人工智能在威脅情報領(lǐng)域的典型應(yīng)用

目前，人工智能技術(shù)已經(jīng)應(yīng)用于奇安信威脅情報生產(chǎn)運營流程的各個環(huán)節(jié)，也應(yīng)用于威脅情報中心推出的多款安全產(chǎn)品中，其中，ALPHA威脅分析平臺的“威脅圖譜分析”模塊尤為典型。

知識圖譜是結(jié)構(gòu)化的語義知識庫，通過將各種實體、概念和關(guān)系以圖形化的方式表達出來，從而構(gòu)建出一個涵蓋了豐富知識的結(jié)構(gòu)化數(shù)據(jù)集。知識圖譜的構(gòu)建需要大量的數(shù)據(jù)積累和處理，人工智能技術(shù)可以通過自然語言處理、機器學(xué)習(xí)、圖像識別等技術(shù)，對非結(jié)構(gòu)化數(shù)據(jù)進行分析和處理，將其中的實體、概念和關(guān)系與知識圖譜中的實體、概念和關(guān)系進行關(guān)聯(lián)，將海量的數(shù)據(jù)轉(zhuǎn)化為可用的知識圖譜。

ALPHA威脅分析平臺——威脅圖譜分析，是一款面向安全運營分析人員的可視化威脅分析工具，是知識圖譜的高級可視化呈現(xiàn)，通過構(gòu)建知識層級的威脅情報查詢系統(tǒng)，針對某個單一的威脅實體，提供基于該實體的基本屬性、關(guān)聯(lián)關(guān)系、關(guān)聯(lián)節(jié)點屬性的結(jié)果數(shù)據(jù)集。

威脅圖譜分析支持對IP、URL、Hash、Domain、Email等多類型數(shù)據(jù)實體的單個查詢及批量查詢，采用多種人工智能領(lǐng)域優(yōu)化算法，自動化進行快速、精準(zhǔn)的數(shù)據(jù)解析匹配，分析各類實體之間的關(guān)聯(lián)關(guān)系和各種行為之間的因果依賴關(guān)系，基于威脅發(fā)現(xiàn)能力模型，展示數(shù)據(jù)實體間的關(guān)聯(lián)關(guān)系，并提供多方位下鉆查詢、拓線溯源能力。該功能模塊可以實現(xiàn)攻擊者溯源及畫像，使得安全運營人員快速、高效地提取高價值威脅情報、挖掘異常行為、提升安全響應(yīng)效率。

結(jié)語

RSA Security首席執(zhí)行官Rohit Ghai在RSAC2023大會的開幕式上說：“惡意黑客將在復(fù)雜的網(wǎng)絡(luò)釣魚活動中使用AI工具，并創(chuàng)建惡意GPT以偽造身份。網(wǎng)絡(luò)安全專業(yè)人士必須借助AI的力量才能消除這些威脅。”由此可見，人工智能席卷整個行業(yè)的同時，人類必須要做的不僅是依靠AI獲取更高的價值，還必須學(xué)會正視它的威脅，最大程度的駕馭這個行業(yè)“武器”，使“人類智能”與“人工智能”相輔相成。