以下是已经在全球SOC崭露头角的六大生成式人工智能应用:
1.培训新员工
卡内基梅隆大学教授Ben Moseley指出,培训新员工通常会占用资深分析师宝贵的时间。生成式人工智能助理可以快速回答新员工的提问,帮助他们更快上手。
2.信息收集
Forescout Technologies是一家为企业客户提供SOC服务的公司,同时也运营着自己的SOC。该公司允许生成式人工智能访问客户数据,但仅限于Forescout构建和控制的受限预览。分析师还可以使用公共版本ChatGPT来处理不涉及客户数据或公司机密信息的常规工作。Forescout首席技术官JustinFoster表示,生成式人工智能的效率和便利性远超传统搜索引擎,并且能够理解上下文,方便后续对话。初级分析师可以直接查看潜在事件描述和行动建议,从而快速提升工作效率。
Foster强调,生成式人工智能可以帮助自动化初级分析师的任务,让他们腾出更多精力用于更高级别的威胁响应活动。
3.定制化模型与安全控制
Forescout在私有实例中运行定制模型,以提高安全性并加强控制。他们还通过API而不是让分析师直接与模型对话的方式来设置防护措施。Foster表示,他们选择控制提问内容并向用户提供答案,以此确保安全使用。这种方式更加便捷,系统可以提前准备好答案,避免分析师需要自行剪切粘贴所需信息并编写提示。
4.编写脚本和摘要
Netskope是一家拥有全球SOC的公司,可以24/7全天候监控其内部资产并响应安全警报。Netskope最初尝试使用ChatGPT查找新威胁信息,但很快发现其信息存在时效滞后的问题。随后,他们将目光投向了生成式人工智能的其他功能,例如根据防火墙规则编写访问控制条目等。
Netskope副首席信息安全官James Robinson表示,他们会为分析师制定使用指南,例如避免将敏感信息输入ChatGPT。随着技术的发展,更安全的选择陆续出现,例如私有实例和API访问。Robinson指出,他们更信赖API提供的安全性保障。
5.帮助分析师快速了解威胁情报的最新动态
例如使用Copilot来更新威胁行为体相关的信息。Robinson认为,生成式人工智能可以帮助新入职分析师更快地创建威胁摘要,从而腾出更多时间进行深入理解。对于资深分析师而言,生成式人工智能可以起到倍增器作用,帮助他们更高效地完成工作。未来,生成式人工智能甚至可以协助构建自定义规则、开展工程检测并与其他系统集成。
6.审查合规政策
Insight是一家位于亚利桑那州的解决方案集成商,在自身SOC中使用生成式人工智能,也为企业提供相关咨询服务。他们的一项早期应用案例是利用生成式人工智能审查合规政策并提出建议。
例如,用户可以询问:“阅读我所有的政策,并告诉我根据现行监管框架我应该采取哪些措施,以及我的政策与这些建议的差距有多大?”
Insight使用运行在微软Azure私有实例中的OpenAI,结合可检索增强型生成(RAG)技术访问其数据存储。Taglienti强调,提供正确的上下文并提出恰当的问题,将有助于生成式人工智能发挥最大效用。
生成式人工智能在SOC中的进阶应用
生成式人工智能在SOC中的应用前景非常广阔,例如Secureworks多年来一直在使用各种形式的人工智能,包括异常检测、其他机器学习模型,甚至神经网络。这些系统帮助Secureworks收集和优先排序警报,使分析师能够优先处理最重要的警报。在过去的18个月中,该公司将警报数量减少了80%,分析师的工作量减少了50%,使分析师能够将更多时间花在更困难的案件和服务新客户上。
公司首席产品官凯尔·法尔肯哈根(Kyle Falkenhagen)表示:“我们的下一个关注领域是如何从分类、调查和响应的角度改善分析师体验。”生成式人工智能恰逢其时地登场。
以下是生成式人工智能在SOC中的三大进阶应用:
- 自动化操作:安全专家们预测,生成式人工智能未来将能够执行操作,例如根据特定策略和漏洞数据库(@MITRE等)创建标准操作流程。
- 更高效的威胁响应:Secureworks公司已经开发了插件,可以让有用的数据输入到人工智能系统中。他们还在最近的一次黑客马拉松活动中测试了将生成式人工智能融入其编排引擎。该公司首席产品官KyleFalkenhagen表示,生成式人工智能可以推理并采取必要步骤,例如阻止用户登录、选择合适的处置方案并调用API执行操作,而无需人工干预。
- 人才短缺与技能培养:Falkenhagen认为,生成式人工智能的出现不会导致安全分析师岗位的消失,反而会让他们将精力转移到更高价值的活动上,例如调查、根因分析和威胁狩猎等。他表示,生成式人工智能可以帮助缓解当前网络安全人才短缺的困境,不但可以提高一线分析师的水平(接近二线),而且能够成为分析师的顾问和技能培训师。
