大语言模型提升安全运营的十种方法

为什么说大语言模型是网络安全运营的一次革命？安全大语言模型到底能不能打？怎么打？

网络安全是人工智能最大的细分市场，而安全运营则是生成式人工智能最热门的应用领域之一。以ChatGPT为代表的，基于大语言模型的生成式人工智能技术可极大提高威胁分析师、威胁猎人和安全运营中心（SOC）员工的学习和工作效率，这也是网络安全厂商争先恐后“跳坑”网络安全大语言模型工具的主要动力。

为了满足企业风险管理和信息保密方面的需求，网络安全巨头们纷纷发布了针对企业网络安全管理的“安全大语言模型”，例如谷歌（Google Cloud Security AI Workbench）、微软（Microsoft Security Copilot）、Mostly AI、Recorded Future、SecurityScorecard、SentinelOne、Veracode、ZeroFox和Zscaler等。

以ChatGPT为代表的AI大语言模型可通过以下10种方式帮助安全运营团队加强网络防御，抵御包括勒索软件在内的攻击（2022年勒索软件攻击暴增了40%）。

1.检测工程

检测工程以实时安全威胁检测和响应为基础。运行试点项目的CISO们表示，安全运营团队可以检测、响应并让大语言模型从真实的警报和误报数据中学习。事实证明，ChatGPT在自动化基线检测工程任务方面非常有效，使安全运营团队能够腾出时间来调查更复杂的警报模式。

2.大规模改善事件响应

试点ChatGPT解决方案的一位CISO透露，他们的概念验证(PoC)结果表明，供应商提供的测试平台能提供事件响应的可操作、准确的指导。

但是在最复杂的测试场景中，ChatGPT仍然会出现“AI幻觉”。这意味着支持ChatGPT的大语言模型必须保持上下文引用的准确性。“这对我们的PoC来说是一个巨大的挑战。ChatGPT解决方案在基线事件响应方面表现良好，但是上下文深度越深，安全运营团队就越需要训练模型。”

ChatGPT在自动执行重复事件响应任务方面表现良好，这为以前必须手动执行这些任务的安全运营团队成员节省了大量时间。

3.大规模简化SOC运营，减轻分析师负担

一家领先的保险和金融服务公司正在ChatGPT上运行PoC测试，以了解它是否能通过自动分析网络安全事件并提出即时和长期响应建议来帮助减轻安全运营中心分析师的负担。SOC分析师也在测试ChatGPT是否可以提供各种脚本的风险评估和建议。他们还了测试ChatGPT为IT、安全团队和企业员工提供安全策略和建议方面的有效性。此外，ChatGPT在员工培训方面也有巨大的应用潜力。   

4.实时可见性和漏洞管理

VentureBest采访的几位CISO表示，提高SOC中各种不同工具的可见性是当务之急，但实现这一目标具有挑战性。ChatGPT可接受实时数据培训来提供实时漏洞报告，并列出企业网络资产中所有已知和检测到的威胁或漏洞。

经过相应数据训练后，大语言模型可提供实时漏洞报告，并按漏洞的风险级别、行动建议和严重性级别进行排名。

5.提高威胁情报的准确性、可用性和背景信息

事实证明，ChatGPT基于对整个企业网络监控数据的实时分析，并结合大语言模型不断创建的知识库，可以有效地预测潜在威胁和入侵场景。一位运行ChatGPT试点的CISO表示，目标是测试系统是否能够区分误报和实际威胁。

到目前为止，该试点最有价值的发现是：大语言模型能够分析企业内生的大量威胁情报数据，然后为SOC分析师提供情境化、实时见解。

6.优化安全配置

网络安全和威胁检测系统的手动错误配置是造成数据泄露的主要原因之一。很多企业对ChatGPT能否分析数据泄露指标(IoC)，帮助识别和建议配置改进感兴趣。

企业希望ChatGPT能给出微调安全配置的最佳建议，以最大限度地减少误报。

7.减少误报

误报率居高不下是网络安全运营的头号难题，也是CISO、CIO热衷于评估评估安全大语言模型的的原因之一。多项研究表明，SOC分析师浪费了大量时间处理最终被证明是误报的警报。Invicti的调查发现，企业SOC每年平均花费1万小时和50万美元来验证不可靠的漏洞警报。ESG的一项调查发现，Web应用程序和API安全工具每天平均生成53个警报，其中45%是误报。

一位在多个SOC进行试点的CISO表示，迄今为止最重要的结果是：ChatGPT这样的生成式AI可以大幅减少处理误报所浪费的时间。

8.更彻底、准确、安全的代码分析

网络安全研究人员正在不断测试大语言模型处理更复杂的安全代码分析任务的能力。Victor Sergeev最近发表了一项更全面的测试：“ChatGPT成功识别了可疑的服务安装，没有出现误报。ChatGPT准确判断出一段代码被用来禁用Windows系统上的日志记录或其他安全措施。”

Sergeev还使用Meterpreter和PowerShell Empire代理感染了目标系统，并模拟了一些典型的对手程序。对目标系统执行扫描后，ChatGPT成功地从137个同时运行的良性进程中识别出两个恶意进程，没有出现任何误报。

9.改进SOC标准化和治理，改善安全态势

CISO表示，与在技术层面提高各种安全工具的可见性同样重要的是，大语言模型有望提高SOC流程的标准化，使其能够适应安全环境变化，这是一种非常关键的安全运营能力。

10.自动化SIEM查询和SOC操作脚本

安全信息和事件管理(SIEM)查询对于分析来自不同数据源的实时事件日志数据并识别异常行为至关重要，这也是生成式AI在网络安全领域的理想用例。

一家大型金融服务公司的SOC分析师表示，SIEM查询占据了她工作量的30%，并正在持续增长，而基于大语言模型的自动化创建和更新每周将至少节省一天半的时间。

总结：

网络安全的大语言模型革命才刚刚开始

2023年下半年将有更多基于大语言模型的网络安全平台问世，热点将是简化SOC安全运营，并缩小身份和端点的安全差距。来自网络和端点的数据将是推动大语言模型训练和创新的主要动力。

企业安全团队可以通过人工智能增强的持续学习形成“肌肉记忆”来适应、响应安全事件，并在攻击得手之前将其遏制。