“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
引言
...(本文因为大概讲这两个小方面的实践,故先讲这么多重要性)
工具推荐
Dify:推荐 AI 应用
Dify 的简单使用方式
-
环境搭建:首先,用户需要在本地或云服务器上部署 Dify 平台(也支持docker 部署)。
-
模型集成:Dify 支持与多种大型语言模型集成,用户可以根据需求选择合适的模型。
-
工作流设计:利用 Dify 的工作流画布,设计 AI 安全应用的工作流程,包括数据输入、处理和输出。
-
Prompt 编排:设计有效的提示词,以指导 AI 模型完成特定的安全分析任务。
5.Agent 定义:创建智能体(Agent),自动化执行安全检查和响应任务。
详情请看官方文档:https://docs.dify.ai/v/zh-hans
部署完后的界面就如下了:
...等等其他的自行看文档,本期仅讲几个场景的应用,故不展开讲功能,应用到哪讲到哪。
安全运营中的 AI 分析场景
-
入侵检测分析:使用 Dify 快速对接 AI 模型,实现对网络流量的实时监控和异常行为的识别。
-
威胁情报分析:集成外部威胁情报源,利用 Dify 的自然语言处理能力,自动提取和分析威胁信息。
-
漏洞扫描与评估:通过 Dify 的自定义工具,自动化漏洞扫描流程,并评估漏洞的严重性和影响范围。
-
代码泄露分析:使用 Dify 快速对接 AI 模型,并提供部分关于代码泄露的“知识库”供Ai分析时候用于参考,对代码监控发现的异常代码做进一步的深入分析确认是否为真实代码泄露。
... (感兴趣的可以加我们后续一起探讨一些更好的落地场景)
已尝试落地的一些场景
感兴趣或者想要提示词的朋友们,后台私我们联系我们发送。
一、入侵检测分析
设计背景:
-
告警泛滥与经验局限:在当今的网络安全环境中,我们面临着海量的告警,这些告警涵盖了多种攻击类型和特征。然而,安全分析师的经验和精力是有限的。在处理这些告警时,个人经验的差异可能导致两种情况:一是花费大量时间去跟进明显误报的告警,这不仅浪费了宝贵的时间和资源,还可能错过真正的威胁;二是由于误判,真实的告警被忽略,从而增加了安全风险。日志分析与响应延迟(赋能):运维人员在进行日志分析时,经常会遇到一些异常请求,这些请求的性质可能难以立即判断。在这种情况下,他们需要安全团队的协助和分析。然而,安全人员可能因为其他紧急的响应任务而无法立即提供支持。这种依赖于人工响应的模式,不仅增加了处理时间,也可能导致关键的安全问题得不到及时的分析和处理。
设计思路:
1、通过Dify对接大模型,调试好提示词与知识库,同时利用Dify的API在SOAR(安全运营自动化)获取到告警时对请求进行分析,并给出初步的研判和处置建议;
2、与步骤一相似,将功能赋能给企业IM,使用户可以发送对应的日志给到机器人,机器人进行分析后给出相关建议给到用户。
效果图:
当然目前可能有些描述或者使用会有些许瑕疵,但这本来也是一个需要不断的去调试和训练学习的过程,或许到未来就能全自动化处理了。
二、漏洞分析
设计背景:
1、修复建议的简单性与沟通成本:现有的漏洞扫描器往往提供过于简化的修复建议,缺乏针对性和操作性。这导致在实际修复过程中,安全团队需要投入大量时间和资源与开发人员进行沟通,解释和指导如何正确实施修复措施,从而增加了沟通成本。
2、系统自带修复方案的过时性:一些系统自带的修复方案可能未能及时更新,提供的历史漏洞修复方式可能已不再适用于当前的安全环境。这可能导致即使按照建议修复后,系统仍然存在漏洞,增加了安全风险。
3、漏洞评估的专业性与复杂度:漏洞评估通常需要专业的知识和经验,以准确判断漏洞的严重性和潜在影响。这一过程的复杂性和专业性要求高,对安全分析师的技能和判断力提出了挑战。
4、评估耗时问题:传统的漏洞评估方法耗时较长,尤其是在面对大量漏洞时,安全团队需要花费大量时间进行逐一评估,这影响了对紧急漏洞的快速响应能力。
设计思路:
1、智能漏洞优先级评估:AI 能够快速分析漏洞特征,评估其潜在的风险和利用难度,从而智能地确定修复的优先级。这不仅节省了安全团队的宝贵时间和资源,还提高了漏洞修复的效率和准确性。通过AI的秒级分析,团队可以避免因个人经验差异导致的误判,确保关键漏洞得到及时修复。
2、漏洞修复建议的优化:AI 提供的修复建议更加详尽和具体,覆盖了不同系统环境下的修复步骤和配置方式。这种"傻瓜式"的指导,大大降低了修复实施的难度和风险,同时确保了修复措施的有效性。AI 还会提醒系统负责人进行充分验证,以避免潜在的问题。
实现效果图:(提供详细的修复步骤,用户可以直接CV)
分析利用方式、是否有exp,对漏洞给出更进一步的分析。
安全厂商提供的修复建议如下:
安全厂商修复建议:
AI根据知识库和模型历史训练情况做综合分析给出最新的修复建议:
以上大概就是本次简单的分享内容,其他的待后续持续的分享。
原文始发于微信公众号(A9 Team):AI 安全运营的新篇章:Dify 的应用与实践(一)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论