——OWASP專家深度解析:別被GenAI搜索功能騙了!CISO必須攻克的兩大“技術(shù)盲區(qū)”
圖源:World Images via Alamy Stock Photos
在網(wǎng)絡(luò)安全領(lǐng)域����,有一句箴言:“要么擁抱AI,要么落后挨打�。”
這句話往往伴隨著鋪天蓋地的營銷承諾,聲稱AI能讓企業(yè)始終領(lǐng)先一步�。然而,當(dāng)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者們穿越這輪炒作周期時(shí)�����,FICO��、John Deere等頭部企業(yè)的實(shí)戰(zhàn)經(jīng)驗(yàn)表明:GenAI(生成式AI)在某些方面確實(shí)兌現(xiàn)了承諾�,但在另一些方面卻未能達(dá)到預(yù)期�。
AI既是盾牌�,也是武器。CISO(首席信息安全官)肩負(fù)著利用AI保衛(wèi)企業(yè)的重任����,同時(shí)也要應(yīng)對(duì)數(shù)量和復(fù)雜程度都在快速增長(zhǎng)的AI驅(qū)動(dòng)攻擊����。
以下是《InformationWeek》采訪多位專家后得出的結(jié)論:AI在網(wǎng)絡(luò)安全中的兩大“奇兵”和兩大“盲區(qū)”。
1. ??? AI兩大“奇兵”:結(jié)構(gòu)化數(shù)據(jù)的效率放大器
AI在處理硬編碼�、數(shù)據(jù)驅(qū)動(dòng)的場(chǎng)景中,展現(xiàn)了強(qiáng)大的效能�����,極大地解放了人力:
威脅建模:人力成本節(jié)省80%
FICO的CISO Ben Nelson介紹�,其團(tuán)隊(duì)將歷史上所有已完成的威脅模型進(jìn)行收集,并在內(nèi)部訓(xùn)練模型���。AI已將人工安全架構(gòu)師從威脅建模過程中解放出來�,減少了約80%的人力勞動(dòng)�,從而縮短了開發(fā)周期。
紅隊(duì)測(cè)試基礎(chǔ)設(shè)施
FICO的紅隊(duì)(Red Team�,即攻擊方)使用生成式AI為測(cè)試打造定制化基礎(chǔ)設(shè)施����,生成作為代碼片段的基礎(chǔ)設(shè)施�,這幫助他們更快地搭建定制環(huán)境,從而進(jìn)行快速測(cè)試�����。
深層異常捕獲
AI工具能夠捕捉“大海撈針”式的異常�,這些異常情況可能會(huì)被人眼忽略。例如�����,MIT的專家Keri Pearlson提到��,AI能發(fā)現(xiàn)惡意代碼的文字顏色被設(shè)成與背景相同來隱藏代碼的情況���。
價(jià)值量化
GenAI被用于在歷史日志數(shù)據(jù)中識(shí)別攻擊模式,然后將這些發(fā)現(xiàn)與行業(yè)數(shù)據(jù)關(guān)聯(lián),量化那些本可能發(fā)生的事件的成本,從而幫助證明網(wǎng)絡(luò)安全投入的合理性���。
2. ? AI兩大“盲區(qū)”:缺乏預(yù)測(cè)與自知之明
CISO們也指出��,AI技術(shù)距離兌現(xiàn)廠商承諾����、滿足用戶需求�,仍存在顯著差距。
盲區(qū)一:缺乏自知之明(“我不知道”)
John Deere的CIO Carl Kubalsky指出:“生成式AI目前面臨的一個(gè)有趣的挑戰(zhàn)是,它無法表達(dá)自己不知道如何處理的情況?���!?/span>
【顧問解讀】:如果AI無法告訴你“我撞墻了”或“我的信息不足”,CISO就無法介入�����,風(fēng)險(xiǎn)就會(huì)被隱藏���。這是一個(gè)根本性的挑戰(zhàn)���。
盲區(qū)二:缺乏有效的預(yù)測(cè)能力
FICO的Nelson表示,AI驅(qū)動(dòng)的網(wǎng)絡(luò)安全工具尚未帶來他希望看到的預(yù)測(cè)能力�。
“我們其實(shí)特別渴望技術(shù)廠商能提供一套更具預(yù)測(cè)性的AI系統(tǒng),它能拿歷史數(shù)據(jù)去對(duì)照實(shí)時(shí)威脅�,嘗試預(yù)測(cè)潛在入侵事件,我還沒看到AI應(yīng)用于此并取得有效成果�?����!?/span>
【另一個(gè)未兌現(xiàn)的承諾】Nelson還提到����,過去一年半里被熱炒的“生成式AI搜索”功能�,實(shí)際在網(wǎng)絡(luò)安全工具里表現(xiàn)平平。它功能非常初級(jí)��,從調(diào)查角度看�����,沒有為團(tuán)隊(duì)增加太多價(jià)值�����。
3. ??? CISO的前進(jìn)道路:?jiǎn)栘?zé)制與內(nèi)部創(chuàng)新
面對(duì)AI的快速演進(jìn)和供應(yīng)商的“參差不齊”����,CISO不能坐等���。
加速評(píng)估與押注:CISO需要減少試錯(cuò)時(shí)間�,加快評(píng)估節(jié)奏。同時(shí)���,要具備戰(zhàn)略前瞻思維�����,提前關(guān)注新興威脅(如深度偽造檢測(cè))�,并敢于押注(如John Deere的深偽檢測(cè)押注)�。
對(duì)供應(yīng)商施加問責(zé):前首席安全信息官Lena Smart表示,必須要求供應(yīng)商對(duì)數(shù)據(jù)負(fù)責(zé)��。她經(jīng)常向供應(yīng)商要求提供:供應(yīng)鏈風(fēng)險(xiǎn)管理審計(jì)報(bào)告�����、數(shù)據(jù)流向����、誰有權(quán)限以及合同結(jié)束后數(shù)據(jù)將如何處理。
內(nèi)部創(chuàng)新與人才:既然供應(yīng)商給不了我們想要的東西�����,Nelson表示,我們就得自己下場(chǎng)做創(chuàng)新和工程�。在網(wǎng)絡(luò)安全領(lǐng)域,人仍是負(fù)責(zé)任使用AI的關(guān)鍵�。
全文:AI在網(wǎng)絡(luò)安全領(lǐng)域做得好的地方以及需要改進(jìn)之處
由AI驅(qū)動(dòng)的工具正在涌入網(wǎng)絡(luò)安全市場(chǎng),其中一些用例可能表現(xiàn)出強(qiáng)大的效能�����,而另一些則未能兌現(xiàn)其承諾��。
圖源:World Images via Alamy Stock Photos
AI既是盾牌���,也是武器���。首席信息安全官(CISO)肩負(fù)著利用這項(xiàng)技術(shù)保衛(wèi)企業(yè)的重任——他們或自建AI工具,或借助供應(yīng)商的AI能力�,或在市場(chǎng)上尋找新的解決方案。然而����,就在他們不斷拓寬安全護(hù)城河的同時(shí)��,威脅方也在想方設(shè)法利用AI繞過這些防御����。AI驅(qū)動(dòng)的攻擊在數(shù)量和復(fù)雜程度上都在快速增長(zhǎng)�。
業(yè)界普遍信奉一句箴言:“要么擁抱AI�����,要么落后挨打����。” 這句口號(hào)往往伴隨著鋪天蓋地的營銷承諾��,聲稱能讓CISO及其企業(yè)始終領(lǐng)先一步�����。當(dāng)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者們穿越這輪炒作周期時(shí)����,顯而易見的是,GenAI(生成式AI)在某些方面確實(shí)兌現(xiàn)了承諾�,但在另一些方面卻未能達(dá)到預(yù)期。
《InformationWeek》采訪了四位網(wǎng)絡(luò)安全專家評(píng)估這項(xiàng)技術(shù)的性能如何��,以及用戶希望它在哪些方面繼續(xù)改進(jìn)����。
一����、 AI在網(wǎng)絡(luò)安全中的有效用例
AI作為編程工具備受矚目��,網(wǎng)絡(luò)安全團(tuán)隊(duì)也以此身份加以利用����。
約翰·迪爾公司(John Deere)總監(jiān)兼副首席信息官Carl Kubalsky(卡爾·庫巴爾斯基)說:“我的工程師們會(huì)使用GitHub Copilot等工具來構(gòu)建我們?cè)诟鲌F(tuán)隊(duì)中運(yùn)行和使用的軟件?!?/span>
Threat Hunter(威脅獵人)也借助AI增強(qiáng)自身能力。例如�,可以部署AI工具去捕捉“大海撈針”式的異常,這些異常情況可能會(huì)被人眼忽略����。
MIT(麻省理工學(xué)院)斯隆管理學(xué)院的高級(jí)講師兼首席研究科學(xué)家Keri Pearlson(凱麗·珀?duì)柹┱f:“無論文字是白色還是黑色,它都能看見�����,因此我們不會(huì)看到白色文本在白色背景上或黑色文本在黑色背景上�����。有些惡意行為者會(huì)把惡意代碼的文字顏色設(shè)成與背景相同來隱藏代碼�����,這是一個(gè)例子��,說明該技術(shù)如何能夠幫助查找可能嵌入在文檔或釣魚郵件中的惡意軟件�。”
AI還能幫助威脅獵手更快行動(dòng)�,并更好地應(yīng)對(duì)企業(yè)面臨的海量威脅。以John Deere為例����,該公司擁有一個(gè)代理安全運(yùn)營中心,可協(xié)助分析師��。它能給工單提供上下文信息��,并提供分析師下一步應(yīng)采取行動(dòng)的見解���,不過最終如何行動(dòng)仍由人類決定��。
Kubalsky說:“借助AI加人類�,我們能捕獲更多威脅��。隨著威脅形勢(shì)不斷上升,這種做法越來越必要��?��!?/span>
在分析軟件公司FICO����,網(wǎng)絡(luò)安全團(tuán)隊(duì)已成功將AI用于威脅建模��。據(jù)首席信息安全官Ben Nelson(本·納爾遜)介紹�,該團(tuán)隊(duì)負(fù)責(zé)確保交付給客戶的軟件安全且完整;并且在設(shè)計(jì)階段����,安全架構(gòu)師會(huì)尋找潛在缺陷。
他說:“我們能夠做的是��,將歷史上所有已完成的威脅模型進(jìn)行收集�,并在內(nèi)部訓(xùn)練模型?��!?/span>
根據(jù)Nelson的說法�����,人工智能已經(jīng)將人工安全架構(gòu)師從威脅建模過程中解放出來�����,減少了約80%的人力勞動(dòng)���,更快的威脅建模意味著更短的開發(fā)周期。
FICO的紅隊(duì)也使用AI工具為測(cè)試打造定制化基礎(chǔ)設(shè)施����。Nelson解釋道:“他們采用了一種生成式AI模型,實(shí)際上生成的是作為代碼片段的基礎(chǔ)設(shè)施��,這幫助他們更快搭建這些定制環(huán)境���,從而進(jìn)行快速測(cè)試���。這是我們?cè)谏墒紸I方面的又一重大勝利?����!?/span>
FICO的網(wǎng)絡(luò)安全團(tuán)隊(duì)還利用生成式AI在歷史日志數(shù)據(jù)中識(shí)別攻擊模式��,然后將這些發(fā)現(xiàn)與行業(yè)數(shù)據(jù)相關(guān)聯(lián),以評(píng)估如果安全事件沒有被預(yù)防可能會(huì)造成的損失�。
Nelson說:“從商業(yè)工具的角度看,這很有意思�����,因?yàn)樗屛覀兓厮莶⒘炕切┍究赡馨l(fā)生的事件的成本��,從而幫助證明網(wǎng)絡(luò)安全投入的合理性��?���!?/span>
二、 AI在網(wǎng)絡(luò)安全領(lǐng)域亟需改進(jìn)之處
隨著首席信息安全官(CISO)將AI工具納入戰(zhàn)略�����,技術(shù)距離兌現(xiàn)廠商承諾和滿足用戶需求的差距也愈發(fā)明顯����。
數(shù)據(jù)依舊是根本難題。要想用好AI工具并達(dá)到預(yù)期效果�,必須先有扎實(shí)的數(shù)據(jù)治理,向數(shù)據(jù)資產(chǎn)投入大量解決方案并不會(huì)立刻見效���。
Kubalsky說:“我認(rèn)為市場(chǎng)上有時(shí)一些花哨的東西會(huì)做出這種承諾���,但我不買賬�����。你必須從根本上解決那些傳統(tǒng)挑戰(zhàn):把數(shù)據(jù)整合好、把合適的數(shù)據(jù)治理落地��、在合適的時(shí)間把合適的數(shù)據(jù)提供給合適的AI���,才能得到想要的結(jié)果�����?��!?/span>
借助AI部署新的網(wǎng)絡(luò)安全措施是可行的,但存在局限性���,其中之一就是AI“撞墻”卻不自知�。Kubalsky指出:“生成式AI目前面臨的一個(gè)有趣的挑戰(zhàn)是���,它無法表達(dá)自己不知道如何處理的情況�����?���!?/span>
Nelson也表示,AI驅(qū)動(dòng)的網(wǎng)絡(luò)安全工具尚未帶來他希望看到的預(yù)測(cè)能力����。
他解釋稱:“我們其實(shí)特別渴望技術(shù)廠商能提供一套更具預(yù)測(cè)性的AI系統(tǒng),它能拿歷史數(shù)據(jù)去對(duì)照實(shí)時(shí)威脅���。該系統(tǒng)應(yīng)把兩者關(guān)聯(lián)起來����,嘗試預(yù)測(cè)潛在入侵事件�����,我還沒看到AI應(yīng)用于此并取得有效成果�。”
Nelson還提到,過去一年半里被熱炒的“生成式AI搜索”功能�����,實(shí)際在網(wǎng)絡(luò)安全工具里表現(xiàn)平平��。
他說:“幾乎每家網(wǎng)絡(luò)技術(shù)廠商都在搜索界面添加了生成式AI搜索功能��,但功能非常初級(jí)�,從調(diào)查角度看,它并沒有為我的團(tuán)隊(duì)增加太多價(jià)值��?!弊宰畛醯臓I銷熱潮以來�,他也沒見到太多改進(jìn)。
信任問題在AI領(lǐng)域日益凸顯����,網(wǎng)絡(luò)安全場(chǎng)景也不例外。Lena Smart(莉娜·斯馬特)曾任首席安全信息管�,現(xiàn)任AIUC-1(一家制定AI自主智能體標(biāo)準(zhǔn)的聯(lián)盟)大使。她希望供應(yīng)商對(duì)標(biāo)準(zhǔn)負(fù)責(zé)任���,而不是向用戶拋出一堆不透明的承諾�����。
Smart說:“總是說‘相信我們���,別擔(dān)心’���、‘你的數(shù)據(jù)在我們這兒很安全,別擔(dān)心’�。給我看看你們的供應(yīng)鏈風(fēng)險(xiǎn)管理審計(jì)報(bào)告,告訴我我的數(shù)據(jù)流向哪里……誰有權(quán)限����?他們?cè)谏厦孀鍪裁矗俊?/span>
Nelson指出�,各家廠商在信任方面“參差不齊”。他說:“很多廠商甚至不通知我們就啟用AI接口���,這相當(dāng)可怕�����,因?yàn)槲覀儾恢浪麄內(nèi)绾问褂梦覀兾薪o他們的數(shù)據(jù)�。這些數(shù)據(jù)可能被用來訓(xùn)練模型���,或與其他客戶的數(shù)據(jù)混用�。”
三�����、 CISO(首席信息安全官)的前進(jìn)道路
隨著解決方案與威脅持續(xù)演進(jìn)��,AI仍將是首席信息安全官們的優(yōu)先事項(xiàng)�����。他們希望減少試錯(cuò)時(shí)間�����,盡快知道什么有效�����、什么無效�。Kubalsky說:“加快評(píng)估節(jié)奏����,我們已經(jīng)著手在做。”
加速擁抱AI有助于組織押注市場(chǎng)上不斷涌現(xiàn)的新能力�����。Kubalsky的團(tuán)隊(duì)一直在關(guān)注該領(lǐng)域的初創(chuàng)公司���,這種前瞻思維至今為止收效良好�。他說:“大約兩年前��,我們就開始接觸深度偽造檢測(cè)初創(chuàng)公司���,因?yàn)槲覀冾A(yù)見到深度偽造和欺詐會(huì)愈演愈烈����,這個(gè)押注我們押對(duì)了��?��!?/span>
盡管新工具令人興奮��,首席信息安全官及其團(tuán)隊(duì)仍需對(duì)供應(yīng)商以及所使用的內(nèi)部AI工具加強(qiáng)問責(zé)�。Smart經(jīng)常收到供應(yīng)商的提案�����,并要求他們解釋數(shù)據(jù)將如何使用,誰將訪問數(shù)據(jù)����,以及合同結(jié)束后數(shù)據(jù)將如何處理。她說:“如果他們不能立刻給出肯定���、清晰�����、毫不猶豫的答復(fù)�����,通話就結(jié)束了�����。”
在Nelson希望追加的所有資源中�,人才排在首位。他說:“既然供應(yīng)商給不了我們想要的東西���,我們就得自己下場(chǎng)做創(chuàng)新和工程�。”
盡管AI可能取代部分人力����,但在網(wǎng)絡(luò)安全領(lǐng)域,人仍是負(fù)責(zé)任使用AI的關(guān)鍵�。Pearlson說:“我認(rèn)為到2026年,管理者會(huì)對(duì)希望引入組織的AI環(huán)境擁有更大的控制權(quán)�����?�!?/span>
作者:Carrie Pallardy(卡麗·帕拉迪)
譯者:木青 ?審核:@lex
