[網絡保安]
生成式AI進入主流,大語言模型(LLM)有如雨後春筍,應用普及化加速。由於市場嚴重缺乏技術人手,初期應用均集中在協助設備設定。
透過生成式AI,廠商可協助用戶簡化設定設備,節省管理人手。近期思科終於宣佈推出生成式AI應用,未來擴展至全線保安產品,目前Cisco Policy Assistant可為防火牆建議設定規則,簡化管理工作。
長遠來說,思科會推出針對保安營運中心(Security operations centre,SOC)生成式AI助手,從電子郵件、Web、端點和網絡日誌檔,直接推論出網絡威脅和影響的範圍,建議修復方法,設置最佳的防禦步驟。
類似生成式AI協助網絡和保安設定,愈來愈普遍。據Juniper Networks亞太區企業總監梁定康說,以Juniper全球首創的虛擬網絡協定助手Marvis,透過Mist AI的自然語言對話,協助全域網絡設備設定和維護,生成式AI學習最佳設定,自動找出適合建議,降低維護人員技術要求,其實愈來愈成為常態。
分析日誌快速應變
近期多家公營機構受攻擊,更多機構考慮安裝「保安資訊及事故管理」(SIEM),及早識別人侵威脅。SIEM的原理是分析系統內多個來源紀錄或日誌檔,全面瞭解網絡狀況後,通過關聯性引擎(Correlation Engine)的分析,識別和回應威脅人侵,問題在於SIEM經常產生大量報告和雜音,難以逐一以人手分析,缺乏專業分析人員,管理SIEM往往要延聘專業外判商,不少廠商加入AI功能,以減少SIEM的誤鳴。
但是,生成式AI不單可減少以人工分析數據,還可在關聯性的分析以外,加人新分析機制,更快速識別攻擊,營運成本也更低。
梁定康指,全球最大數據科學比賽平台Kaggle為例,一直舉辦比賽透過高額獎金,鼓勵開發人員創新算法和預測分析,解決網絡和保安難題。以往不少透過機器學習分析;近期Kaggle流行以LLM開發識別威脅方案,效果甚至比機器學習算法,還更勝一籌。
從Kaggle上趨勢推測,生成式AI應用於保安分析研究,正是方興未艾,以自然語言處理分析日誌,已呈現不少優勢,潛力不俗忽視。
「以往, 數據科學家先分類不同數據,暸解結構和相關性後,建立起預測性算法;LLM則透過自然語言處理(NLP)深度學習,直接讀取日誌內容,建立相關性再產生可能答案,幾乎毋須編程,就可找出相關性,新一代LLM具「多模態」(Multi -Modal)能力,結合蛛絲馬跡,獲得更凖確答案。」
AI保安雨後春筍
近代的LLM透過Transformer技術,利用自注意力機制,免除大量標注數據和數據分類,又解決多層深度學習的失真,凖確分析大量日誌,可迅速找出可疑活動。
梁定康指,LLM深刻影響網絡管理和保安,以Skyhawk、Microsoft、Google Cloud三家公司推出LLM工具為例,可直接評估識別網絡的威脅。Skyhawk以LLM提高識別威脅準確性,甚至可自我改進的AI威脅分析框架,套用不同LLM分析日誌檔後,均可加快識別惡意行為,而且凖確度更高。
Skyhawk曾利用ChatGPT4,加快識別速度達78%,Skyhawk推出基於不同LLM的預測評分,發現部署Meta開源Llama2,識別威脅的凖確率,竟還高於ChatGPT4。Llama2免費授權又可本地部署,再結合API擴展用途。不少保安應用傾向以本地部署,Skyhawk發現可本地部署LLM,檢測能力較收費版本更佳,LLM用於威脅應用,帶來更多啟示。
Microsoft推出Security Copilot工具,而Google Cloud推出了Security AI Workbench,兩者利用LLM配合保安技術和網上最新情報,亦可更快反應消除威脅。
以子之矛攻子之盾
梁定康指,不少研究也集中以LLM作終端防禦。網絡釣魚電郵和訊息,已成為網絡上最大威脅。黑客已經利用LLM,通過學習攻擊目標的個人訊息,編寫更易令人上當個人化欺詐內容,研究人員也開發LLM應用,自動識別出類似的詐騙訊息。
「生成式AI透過學習後,就產生適當建議,小量數據已可作分析,不須累積大量數據作訓練,已可獲得準確結論。多家初創正開發方案,自動分析可疑意圖訊息,以識別網絡欺詐。」
不少人預期,LLM加速普及化,很快成為手機和個人電腦標凖應用,其中一個用途可過濾接收的信息,警告用戶加以提防,隨身保安助手的出現,不再是天方夜譚。