AI安全爆发：谷歌发布网络安全大语言模型

本周二在旧金山举行的2023年RSA大会上，谷歌云发布了谷歌云安全人工智能工作台，基于专为网络安全设计的大语言模型Sec-PaLM。

Sec-PaLM是谷歌现有大语言模型PaLM的定制版本，能够处理谷歌和Mandiant的专有威胁情报数据，可以帮助企业帮助识别和遏制恶意活动，并协调事件响应行动。

安全管理的一场革命

谷歌云安全人工智能工作台包含的主要工具之一是VirusTotal Code Insight（下图），目前以预览版发布，支持用户导入脚本并分析其恶意行为。

谷歌AI工作台提供的另一个工具是Mandiant Breach Analytics for Chronicle，将于2023年夏季发布预览版，它使用Google Cloud和Mandiant威胁情报自动通知用户有关网络攻击的信息，同时使用Sec-PaLM查找、汇总和响应环境中发现的威胁。

“想象一下未来的网络安全防御：当你搭建基础设施时，会自动生成安全策略，安全控制或安全配置，”谷歌云工程副总裁Eric Doerr指出：“这是我们正在研究的一个应用场景，将在安全运营和安全管理领域引发一场变革。”

AI安全竞争日趋白热化

在谷歌发布基于生成式AI的网络安全大语言模型前后，包括微软、谷歌、SentinelOne、Orca Security等越来越多的安全厂商开始涉足生成式人工智能网络安全技术市场。根据MarketsandMarkets的预测，该市场规模到2028年将达到518亿美元。

生成式AI网络安全技术的标杆产品目前是微软不久前发布的基于GPT-4的Security Copilot，后者的定位是“AI助手”，能够将GPT-4与微软的专有安全数据相结合，高效率处理威胁情报并自动撰写安全事件报告。

其他安全厂商，例如云安全提供商Orca Security和Kubernetes安全公司ARMO，也开始尝试利用生成式AI自动化SOC的运营流程。

然而，Doerr认为，谷歌云鱼其他生成式AI安全解决方案相比，最大的优势是海量数据，并且能基于这些数据训练出安全能力更强的模型。

Doerr所指的“海量数据”，包括在整个谷歌产品生态系统（Mandiant威胁情报、Chrome、Gmail和YouTube等）中收集的数据。

此外，Doerr还指出，谷歌云客户将能够使用谷歌“开箱即用”的sec-PaLM大语言模型，或者用他们自己的数据来微调模型。

将安全分析师的效率提高十倍

本周在RSA大会上亮相的另外一个热门生成式AI产品是网络安全厂商SentinelOne的AI威胁狩猎平台，该解决方案使用GPT-4等算法来加速人为主导的威胁搜寻调查并协调自动响应。

SentinelOne威胁搜寻平台能从端点、云服务和网络日志中摄取、聚合和关联数据，并充当能够实时回复安全分析师的威胁搜寻问题并触发自动响应操作的自动化助手。

SentinelOne首席执行官Tomer Weigarten指出：“我们不仅允许用户提出问题，还允许用户通过完整的自然语言界面调用操作并以完整、直观的方式自动化和编排响应。例如，用户可以用自然语言要求系统查找使用PowerShell的网络钓鱼尝试，或查找所有潜在的Log4j漏洞利用尝试；自动撰写威胁信息的事件摘要并在必要时触发自动响应。”

对于来自同样基于GPT-4的微软Security Copilot，Weingarten指出：SentinelOne解决方案能够自动执行补救措施，这是与Security Copilot等竞争对手的最大区别，后者主要提供事件总结（报告）功能。

“假设有人发送了一封恶意网络钓鱼电子邮件，它到达了用户收件箱并被检测为恶意邮件。系统会根据端点安全审计发现的异常，立即执行自动修复，从受攻击端点删除文件并实时阻止发件人，整个过程几乎不需要人工干预。”

Weingarten声称：“有了AI系统助力，安全人士将如虎添翼，每个安全分析师的工作效率是过去的十倍。”