在网络安全中,我们对防御者的困境再熟悉不过了:失陷似乎是不可避免的,因为防御者必须100%正确,而攻击者只需要成功一次。这种严重的不对称不仅仅是技术差距,也是战略挑战。随着与攻击者的技术军备竞赛愈演愈烈,仅仅100次中都正确已经不够了,防守者需要在一百万次中正确一百万次。
Dropzone AI的诞生,就是为了解决这一差距。我们的使命是利用基于大语言模型LLM的自主人工智能代理的力量,改变安全运营中心SOC处理网络威胁的方式。
我对网络安全的探索始于我对网络作为安全数据丰富来源的迷恋。在退出华盛顿大学西雅图分校的计算机科学博士学位课程(在那里我开发了程序分析和软件防御的新技术)后,我加入了ExtraHop Networks,这家公司拥有地球上最好的网络流解析技术。我认为网络可以作为一个隐形的陷阱领域,为网络攻击者设置不可见的触发器。我想利用基于AI的行为分析来创建一个环境,使攻击者必须非常谨慎地行动,从而在防御者有利的情况下改变力量的平衡。
![用AI提升SOC应急响应效率是个千载难逢的时代机遇|一个初创CEO的自白]( "用AI提升SOC应急响应效率是个千载难逢的时代机遇|一个初创CEO的自白")
在我在ExtraHop的八年任期中,我从零开始领导了其先进的AI/ML检测能力的开发,并推动了从网络性能监控NPM向网络检测和响应NDR的转变。Forrester最近将ExtraHop评为NDR领域的领导者,其市场份额超过1.4亿美元。然而,虽然我们提供了对网络中微妙但可疑变化的全面检测,但随着时间的推移,逐渐明确,仅仅在检测方面进行创新是无法解决这种不对称性的。
我还记得在我在ExtraHop担任高管初期的一次电话会议,当时我正在与一家重要金融服务提供商的SOC经理进行交流,这是我们的早期采用者之一。作为检测产品负责人,我与SOC经理Michael进行了一次关于一些基于深度学习的异常数据移动警报的反馈会议,这些警报是我们与他们一起测试的,以及他的团队为什么忽视了这些警报。当我提出这个问题时,Michael礼貌但坚定地回应道:“Edward,我欣赏你们在这些检测中所投入的数学和工程,但它并没有你们想象的那么有价值。让我向你展示为什么。”然后,他进行了一次实时演示,从SIEM中的警报开始,确认NDR中的网络遥测数据,再到EDR,然后到文件共享,最终与人力资源系统进行交叉引用,以寻找内部威胁的可能性。当秒表超过十五分钟时,Michael评论道:“你看,Edward,提供一个警报并不会改变游戏规则。你需要帮助我理解它们。”
从碎片化的数据源中获取上下文的过程是复杂而耗时的。随着时间的推移,逐渐明确,尽管SOC拥有所有警报检测的能力,但他们却被淹没在一大堆警报中,由于资源和带宽有限,他们通常只能调查其中不到10%的警报。这导致了明显的自动化不匹配:随着警报生成变得更加复杂和自动化,警报调查仍然主要是手动的,从而在安全运营中造成了实质性的瓶颈。当时,警报调查的显著自动化在技术上是不可能的。由于大量分散的网络安全工具/数据源的大排列组合、不同类型的警报以及需要特定于组织的背景,传统的基于if语句的机器人自动化无法处理这种组合爆炸。
快进到2023年,IBM的数据泄露报告揭示,83%的组织经历了一个以上的数据泄露,从地方医院到政府机构。甚至在我们这个时代资源最充裕的科技公司中,市值高达2.5万亿美元的微软,最近也被国家赞助的黑客攻击,而且在一个多月的时间里甚至没有察觉到。微软只有在一个政府机构(微软的客户)在审查其系统中的深层次警报时,发现了一些可疑的迹象,这些迹象指向了微软的受攻击情况。随着大型语言模型(LLMs)的引入,攻击者现在可以在更大的规模上更有效地进行攻击(从社交工程到漏洞发现)。很明显,网络防御者和攻击者之间的不对称性正在比以往任何时候都更快地增长。我们已经到达一个拐点,在这个点上,单靠人类已经无法跟上,迫切需要在安全运营的自动化方面迈出一个大的步伐。
幸运的是,攻击者正在武装化的同样的LLMs也可以被防御者用作一种新的、更优越的方式来自动化认知推理。LLMs现在可以用于构建模块,模仿人类在以前无法通过传统编程自动化的任务中的推理能力。如果我们能够利用LLM的认知推理能力,将网络安全的专业知识和专业技能编码到人工智能软件中,会怎样呢?我们能否创造出一种技术,能够处理操作上的繁琐工作,从而使人类分析师有更多的时间专注于更重要的项目?
受到网络安全领域发生的地震般的变化的推动,我与ExtraHop怀着深深的感慨告别了,并踏上了一段新的旅程:创造Dropzone AI。愿景是清晰的——通过AI增强SOC,使他们能够更好地运营和防御,就像他们拥有无限数量的一线分析师一样。
在Dropzone AI,我们正在构建能够在SOC中自主执行初级分析工作的AI代理。这些AI代理模仿专业的人类分析师的决策过程,理解网络安全的复杂性,并适应不断变化的威胁环境,以彻底自主地调查所有警报。SOC将他们的警报发送到我们的系统,对于每一个警报,Dropzone将自主执行端到端的调查(跨越他们现有的安全堆栈)并生成一个调查报告,详细说明相关的背景信息以及是否将该警报视为真正的告警还是误报。这些代理在全天候工作,从不疲倦,确保没有任何威胁被忽视,同时让人类分析师有时间专注于最重要的任务。
我们相信我们的技术有能力首次在网络防御领域实质上创造公平的竞争环境。今天,我们公开成立了公司,并宣布获得350万美元的种子资金,由Decibel Partners领投,Pioneer Square Ventures跟投。Pangea Security首席执行官兼Phantom Cyber创始人兼前首席执行官Oliver Friedrichs、Duo Security联合创始人兼前首席技术官Jon Oberheide以及ExtraHop联合创始人兼首席技术官Jesse Rothstein等知名天使投资人也参与了本轮融资。我们计划扩大我们的工程团队并加速我们的技术开发,以支持最常见的警报类型和安全堆栈。
安恒信息副总裁梁浩表示,使用AI技术,给分析师提供智能化安全分析的辅助,是未来安全运营的主要方向之一,这样将很大程度上提高人机协作的效能,从而降低运营的成本,缩小攻防对抗与挑战中的不平衡。随着AI技术的持续成熟与普适化推进,除了安全分析的智能辅助,还将覆盖到资产运营,设备运维,检查加固,安全管理,态势指挥等更多安全运营的关键环节,系统性全链提升安全运营的效能。
联成科技副总经理张驰认为,对于Dropzone AI这个新事物而言,功能宣传是诱人的,可以大量的节约人力投入,由人工智能为安全工程师处理一线的手动工作和警报调查的重复性工作,不会因为人力不足而忽略有效的告警信息。目前,市场上使用反馈比较少,尚属于探索阶段。我们认为这个方向是有益的,值得尝试的,但是对比人工智能成熟程度与标本数据以及算力投入关系来看,它所获得的350万美元的融资显然太少了。我们会持续关注这一方向,但在投入使用持谨慎态度。
https://www.dropzone.ai/blog/dropzone-ais-mission-level-the-playing-field-for-security-operations
关注「安全喵喵站」,后台回复关键词【报告】,即可获取网安行业研究报告精彩内容合集:
《网安供应链厂商成分分析及国产化替代指南》,《网安新兴赛道厂商速查指南》,《2023中国威胁情报订阅市场分析报告》,《网安初创天使投资态势报告》,《全球网络安全创业加速器调研报告》,《网安创业生态图》,《網安新興賽道廠商速查指南·港澳版》,《台湾资安市场地图》,《全球网络安全全景图》,《全球独角兽俱乐部行业全景图》,《全球网络安全创业生态图》
原文始发于微信公众号(安全喵喵站):用AI提升SOC应急响应效率是个千载难逢的时代机遇|一个初创CEO的自白
评论