ChatGPT强化零信任的十大方法
RSAC 2023讨论最多的话题无疑是新发布的ChatGPT相关安全产品。
以ChatGPT为代表的生成式人工智能技术可极大提高威胁分析师、威胁猎人和安全运营中心(SOC)员工的学习和工作效率,这也是网络安全厂商争先恐后采用ChatGPT等生成式人工智能工具的主要动力。企业安全团队可以通过人工智能增强的持续学习形成“肌肉记忆”来适应、响应安全事件,并在攻击得手之前将其遏制。
在RSAC 2023发布新产品和集成的20家供应商中,最值得注意的是Airgap Networks,Google Security AI Workbench,Microsoft Security Copilot(在展会前推出),Recorded Future,Security Scorecard和 SentinelOne。
其中Airgap的零信任防火墙(ZTFW)与ThreatGPT尤其值得关注,二者通过在网络核心中添加专用的微分段和访问层来补充现有的外围防火墙基础结构 。“凭借高度准确的资产发现,无代理微分离和安全访问,Airgap提供了丰富的情报来应对不断变化的威胁,”Airgap首席执行官Ritesh Agrawal表示:“客户现在需要的是一种无需任何编程即可利用这种功能的简单方法。这就是ThreatGPT的美妙之处——人工智能的纯粹数据挖掘智能与简单的自然语言界面相结合。这对安全团队来说简直是游戏规则的改变者。”
ChatGPT加强零信任十大方法
用生成式AI增强网络安全的最热门应用是识别和加强企业最脆弱的攻击面。此外,AI还能从多个方面加强零信任方案的安全能力,以下是生成式 AI加强NIST 800-207标准中定义的零信任核心框架的十大方法:
在企业层面统一威胁分析和事件响应
CISO们希望整合技术堆栈,因为威胁分析、事件响应和警报系统有太多冲突,而SOC分析师不确定什么是最紧迫的任务。生成式AI和ChatGPT已经被证明是整合应用程序的强大工具。他们最终将为CISO提供整个基础架构中威胁分析和事件响应的单一视图。
通过持续监控更快识别基于身份的内部和外部攻击
零信任的核心是身份,而最容易阻止的攻击行为往往来自内部,有着合法的身份和凭据。生成式人工智能有可能快速识别给定身份的活动是否与其之前的历史一致。
LLM(大语言模型)的核心优势之一是能够根据小样本量发现数据中的异常。这非常适合保护IAM,PAM和Active Directories。事实证明,LLM 在分析用户访问日志和检测可疑活动方面是有效的。
克服微分段最具挑战性的障碍
正确进行微分段面临的诸多挑战可能会导致大型微分段项目拖延数月甚至数年。虽然网络微分段旨在隔离企业网络中定义的分段,但它很少是一次性的任务。
生成式AI可以帮助确定如何在不中断系统和资源访问的情况下最好地引入微分段方案。最重要的是,它可以减少不良微分段项目在IT服务管理系统中创建的数以千计的故障单。
解决端点和身份保护面临的挑战
攻击者往往在端点安全和身份管理之间寻找空隙。生成式AI和ChatGPT可以为威胁猎人提供所需的情报来帮助解决此问题,帮助他们快速了解哪些端点面临最严重的攻击风险。
为了强化安全响应的“肌肉记忆”,特别是在端点方面,生成人工智能可以用来不断学习攻击者如何渗透端点以及他们试图使用的身份。
将最低特权访问提升到新高度
将生成式AI应用于通过身份、系统和时间长度限制对资源的访问是最强大的零信任AI增强用例之一。根据资源和权限配置文件向ChatGPT查询审计数据可为系统管理员和SOC团队每年节省数千小时。
最低权限访问的核心部分是删除过时的帐户。Ivanti的《2023年安全准备状况报告》发现,45%的企业怀疑前员工和承包商仍然可以主动访问公司的系统和文件。
Ivanti首席产品官Srinivas Mukkamala博士指出:“大型组织往往无法覆盖所有应用程序、平台和第三方服务的巨大生态系统,这些应用程序、平台和第三方服务授予的访问权限远远超过员工的任期。我们称这些为僵尸凭证,数量惊人的安全专业人员,甚至是领导层的高管 ,仍然可以访问前雇主的系统和数据。”
微调行为分析、风险评分以及安全角色的实时调整
生成式AI和ChatGPT能帮SOC分析师和团队快速掌握行为分析和风险评分发现的异常情况,更快地阻止攻击者的横向移动。仅通过风险评分定义特权访问将过时,生成式AI会将请求置于上下文中,并向其算法发送警报以识别潜在威胁。
改进的实时分析、报告和可见性,帮助阻止在线欺诈
大多数成功的零信任计划都基于数据集成,后者汇总和报告实时分析、报告和可见性。企业可将这些数据用于训练生成式AI模型,向SOC的威胁猎人和分析师提供前所未有的见解。
这有助于提高电子商务欺诈的检测效率,拥有生成式人工智能历史数据访问权限的威胁分析师将能快速获知标记的交易是否合法。
改进情境感知访问,增强细粒度访问控制
零信任的另一个核心组件是按标识、资产和端点划分的访问控制粒度。生成式 AI可用于创建全新的工作流,更准确地检测网络流量模式、用户行为和上下文智能的组合,按身份、角色建议策略更改。威胁猎人、SOC分析师和欺诈分析师将在几秒钟内了解每个被滥用的特权访问凭据,并能够通过简单的ChatGPT命令限制所有访问。
强化配置和合规性,使其更加符合零信任标准
ChatGPT所基于的LLM模型已经被证明在改进异常检测和简化欺诈检测方面是有效的。该领域的下一步是利用ChatGPT模型来自动化访问策略和用户组创建,并随时了解模型生成的实时数据的合规性。ChatGPT将极大提高配置管理、风险治理和合规性报告的工作效率。
限制攻击爆炸半径:网络钓鱼攻击
事实证明,ChatGPT在自然语言处理(NLP)方面非常有效,并且与其LLM相结合,可以有效地检测电子邮件中的异常文本模式。这些模式通常是商业电子邮件入侵(BEC)欺诈的标志。ChatGPT还可以检测识别AI生成的电子邮件并将其发送到隔离区。生成式AI正被用于开发下一代网络弹性平台和检测系统。
总结:借助AI将零信任劣势转化为优势
ChatGPT和其他生成式AI可以通过加强企业零信任安全的“肌肉记忆”来应对不断变化的威胁情报和安全知识的挑战。现在,企业应该将生成式AI视为一种关键的学习系统,后者通过观察和检测所有网络流量、限制和控制访问以及验证和保护网络资源,帮助企业不断提高其网络安全自动化水平和人力技能,更好地防御来自外部和内部的威胁。
