![ChatGPT改善安全运营超出预期?奇安信专家:完全自动化仍无法实现]( "ChatGPT改善安全运营超出预期?奇安信专家:完全自动化仍无法实现")
多年来,安全运营领域在很多方面一直停滞不前,分析师收到了大量、过载的信息。通常,安全分析师收到潜在安全事件的警报后,会发起调查、提取数据以便能“讲出故事”,同时判读是否为真正的攻击。这通常需要大量手动工作,或者需要使用 SOAR(安全编排、自动化和响应)工具将相关工作进行整合。
所以,利用人工智能技术降低手动工作量,成为了网络安全行业重要的研究方向之一。
不过,很多网络安全专业人士一直对人工智能的作用持怀疑态度,习惯于嘲笑相关企业对于人工智能作用的大肆宣传(夸大)。人工智能技术在识别安全威胁方面发挥了重要的价值,但事实证明,很多解决方案远没有宣传的那么实用,而是被营销团队夸大了。
当下,人工智能再次成为顶流。作为现阶段人工智能领域的“当红炸子鸡”,ChatGPT上线仅2个月活跃用户就突破了1亿。
埃森哲的安全研究人员一直在尝试利用ChatGPT 的功能,实现网络防御自动化的工作。熟练的安全专业人员,网络安全专业人员负担过重,ChatGPT实现一些安全工作的自动化将会给不堪重负的安全团队带来福音,同时还有助于“消除信号中的一些噪音”。
奇安信SOAR团队在近期也对ChatGPT进行了一系列实验,以探索其在安全运营领域可能的应用场景和预期效果。
“刚开始我们团队对于ChatGPT能否真正用于网络安全运营是有问号的”,奇安信SOAR团队的安全运营专家表示,“但随着对它了解的深入,我们的态度也发生了一些转变。它的表现超出了预期,并展示出了强大的潜能。”
“如果针对某个事件告警没有预置的响应处置剧本,那么安全分析师可以求助于ChatGPT,开启交互式响应旅程,并贯穿研判、处置和报告三个环节,但不要指望一次提问就能让ChatGPT自动完成安全事件的研判。”
在研判环节,ChatGPT可以提供告警和安全事件的见解和处置建议,并提供安全威胁情报知识的标注,协助分析师进行事件研判。分析师还可以与ChatGPT进行连续对话,主动提供更多的告警上下文情境信息,或者在ChatGPT的指引下获取并提供更多情境信息,以得到更精确的信息。而这也体现了聊天机器人的独特之处。
在处置环节,ChatGPT已经可以根据处置工程师的要求产生处置脚本。尽管目前并且产生的脚本还比较初级,仍需人工调整,但ChatGPT已能显著减轻处置人员的工作压力。可以预期,未来一些基本的安全响应脚本初稿的撰写工作可以交给ChatGPT或者类似的AI机器人去做,处置工程师可以在脚本初稿的基础上加以完善并转为SOAR剧本。
在报告环节,ChatGPT可以根据整个研判和处置过程中产生的各类信息,以及分析师后期输入的上下文信息,在分析师的约束下,产生一份事件分析处置报告,减轻分析师的文案工作量。
“但是要注意,ChatGPT作为一种会话式交互模式,本质上是低效的,需要用对场合”,奇安信安全运营专家表示,“对于那些缺乏标准化、自动化处置流程的和疑难的告警事件,ChatGPT可以给分析师提供切实的帮助。而如果将ChatGPT和SOAR结合起来,整个安全响应的进程可以加速10倍以上。”
“如果把安全运营的一次事件响应过程看作一次作战,运营人员就是这次战斗的指挥官,而ChatGPT就像是他/她的作战参谋,两者反复沟通做出决策,形成行动方案,但ChatGPT作为聊天机器人还无法执行操作指令。这时候SOAR就起到了作战部队的作用,可以快速自动地执行行动方案、反馈行动效果,并促发新一轮决策。”
奇安信的研究表明,ChatGPT可以赋能包括事件分析与响应在内的多种安全运营过程,降低对本就不足的预置安全知识的依赖,并能促进有价值的安全知识的产生和积累,从而帮助安全运营团队更精确地做出决策、实施响应、积累经验。
显然,ChatGPT等高级AI驱动的聊天机器人目前还无法完全取代人类分析师,更多是提供辅助决策与操作支持。相信随着持续高强度的人机会话互动,再借助更大规模更专业的语料库训练,ChatGPT会不断强化自己的能力,不断减轻人类安全分析师的工作负担。
“在可见的未来,不要指望出现完全自主化的安全运营!ChatGPT不会自动帮你把安全事件都处置掉。安全的本质依然还是人与人的对抗,ChatGPT的强大依然来自对人类知识的理解和总结,加大对网络安全人才的培养依旧刻不容缓。”奇安信安全运营专家表示。
![ChatGPT改善安全运营超出预期?奇安信专家:完全自动化仍无法实现]( "ChatGPT改善安全运营超出预期?奇安信专家:完全自动化仍无法实现")
原文始发于微信公众号(奇安信集团):ChatGPT改善安全运营超出预期?奇安信专家:完全自动化仍无法实现
评论