概述

備受全球信息安全行業(yè)矚目的RSA Conference2023近期于美國舊金山召開，本次會議繼續(xù)聚焦信息安全領域的前沿技術和熱點話題，研究行業(yè)趨勢和各種安全威脅，探討新興技術和最佳實踐，為從業(yè)者提供指導和參考，以應對當前和未來的網絡威脅。

今年的會議共有500余場高峰論壇、主題演講和研討會，涵蓋了多方面的熱點話題，除歷年備受關注的“創(chuàng)新沙盒大賽”外，還有如漏洞攻擊、高級持續(xù)威脅(APT)研究、安全分析/情報及響應、黑客和威脅、云安全及運營、機器學習/人工智能及自動化等熱點話題。

(資料圖)

通過奇安信產業(yè)發(fā)展研究中心對近5年創(chuàng)新沙盒發(fā)展和變化的分析，除云安全、數據安全、軟件供應鏈安全、身份安全四個熱門賽道熱度持續(xù)之外，智能應用和自動化異軍突起。隨著ChatGPT風靡全球，以及創(chuàng)新沙盒冠軍HiddenLayer的誕生，AI安全成功殺出重圍，似乎是一夜間就占據各大主流媒體的頭版頭條，成為炙手可熱的創(chuàng)新賽道。

創(chuàng)新沙盒2019-2023年十強賽道分析

自上個世紀起，依賴于規(guī)則引擎發(fā)展的“人工智能”就在不斷給我們的生活帶來驚喜和變革，直到其進入機器學習和深度學習階段，廣泛應用于圖像識別、語音識別、自然語言處理等領域，開始不斷給對網絡安全產業(yè)帶來“驚喜”。如今，人工智能和機器學習技術已經廣泛應用在威脅情報、威脅檢測、響應和修復等各個方面。

當前的挑戰(zhàn)

今年的RSAC大會上，多位行業(yè)專家圍繞人工智能發(fā)表了主題演講，包括SentinelOne、谷歌云、IBM等在內的眾多知名廠商都發(fā)布了基于生成式AI技術的網絡安全工具。

拋開“人工智能是否被過熱推崇”的爭論以及人工智能引發(fā)的“人工焦慮”不談，不得不承認，人工智能確實又一次引發(fā)了新技術浪潮，根據IDC預測，2023年企業(yè)在人工智能技術上的投入將達到1540億美元，增長27%，暗示了今后人工智能巨大的市場需求。

當今全球的網絡安全形勢變幻莫測，地緣政治因素引發(fā)的各種APT攻擊活動持續(xù)加劇，網絡威脅將更加智能化、復雜化、多樣化、全球化，因此，組織需要采用更加先進和綜合的安全措施，以應對不斷增長的網絡威脅。同時，受宏觀經濟的不確定性影響，導致眾多安全公司都在不同程度上削減網絡安全預算，失業(yè)率上升也增加了網絡犯罪的風險。而據奇安信威脅情報中心預測，“2023年，受地緣政治沖突影響，APT攻擊活動持續(xù)加劇；對受害國本土軟件的漏洞利用愈加頻繁；瞄準關鍵基礎設施的破壞越發(fā)泛濫；各類新型釣魚攻擊活動將頻繁出現。”

近年來，人工智能技術通過與威脅情報的深度融合，可以極大地提高運營人員的分析效率、增強預測能力、提高精度和準確性、實現自動化分析，這使得企業(yè)可以更快速地識別和應對網絡安全威脅，降低運營成本，增強安全防御能力；Palo Alto Networks高級副總裁Kumar Ramachandran在RSAC2023的主題演講中稱，威脅格局正在不斷演變，利用機器學習可以阻止高達95%的未知威脅。

但二者的不斷發(fā)展也使得網絡安全面臨著諸多挑戰(zhàn)和威脅，人工智能技術助推了攻擊者不斷演化和更新攻擊手法，制定針對性的攻擊策略，并更加難以被發(fā)現和防御，大大降低了網絡犯罪的門檻。

SANS的安全專家在本次會議上分享了《五種最危險的新型攻擊技術》，對抗性人工智能攻擊和ChatGPT驅動的社會工程學攻擊被重點提及。在對抗性人工智能攻擊中，攻擊者可以操縱AI工具來加速勒索軟件活動，并可以識別復雜系統(tǒng)中的零日漏洞，從簡化惡意軟件編碼過程到普及社會工程，對抗性人工智能已經改變了攻擊者的游戲規(guī)則。而風光無兩的ChatGPT，也在逐步淪為攻擊者進行社工攻擊的一把利刃，SANS的研究員Heather Mahalik在交流中表示，這種發(fā)展意味著用戶現在比以往任何時候都更容易受到攻擊，只要誤點一個惡意文件，不僅會使整個公司面臨風險，還會影響受害者的生活。

威脅情報與人工智能的融合效應

在2023年RSAC大會上，谷歌云正式宣布推出行業(yè)首款由專業(yè)安全的Sec-PaLM大語言模型(LLM)驅動的可擴展平臺——Google Cloud Security AI Workbench，這種新型的安全模型包含了該公司威脅態(tài)勢洞察以及Mandiant關于漏洞、惡意軟件、威脅指標和攻擊者信息的一線情報。谷歌云Security AI Workbench已經為其多款新產品提供支持，解決其企業(yè)客戶的安全挑戰(zhàn)。

威脅情報與人工智能的深度融合，利不可拋，弊不可棄：

1.威脅情報的時效性和上下文信息

時效性和上下文信息是影響威脅情報實際應用效果的兩個重要屬性，人工智能和機器學習技術的發(fā)展，改變了依靠人工獲取和處理威脅情報的傳統(tǒng)，通過算法和模型自動化地處理和分析大量的文本、語音和圖像等數據，自動識別數據中的關鍵信息，發(fā)現網絡資產中存在的漏洞，并快速提供分析報告和上下文信息，減少人力成本的同時，也極大的減少了漏報和誤報，威脅情報分析和處理的速度和準確度得到了提高，進一步增強了威脅情報的時效性和有效性。

2.實時精準的自動化檢測和響應

目前人工智能技術已經可以實現對海量數據（603138）源的數據進行監(jiān)控和分析，及時發(fā)現異常流量，快速識別和定位潛在威脅，通過機器學習算法對網絡數據進行自動分類和識別，并對識別出的惡意軟件和網絡攻擊進行自動化檢測和攔截，保護企業(yè)和組織網絡資產的安全。

3.風險評估和風險預測

人工智能技術可以通過數據挖掘和分析，快速識別和評估各種威脅，減少漏報和誤報。通過機器學習算法和模型分析網絡日志，發(fā)現異常行為，多個角度對未來的風險進行分析，預測出未來可能的攻擊類型和攻擊目標，提高決策的可靠性和準確性，幫助企業(yè)和個人更好地制定應對策略。例如，人工智能技術可以對網絡漏洞進行掃描和評估，預測漏洞被利用的可能性和影響范圍，從而提高漏洞修復的效率和準確性。

4.無處不在的網絡攻擊和無法避免的漏報、誤報

隨著人工智能技術與威脅情報領域的融合越來越深入，其在威脅情報分析和應用中的不利影響也越來越顯現：

1)人工智能雖然已經大幅度減少了漏報誤報的可能，但因為人工智能算法的訓練數據可能不夠全面或者存在偏差，導致算法出現錯誤的判斷，這就需要人工進行二次研判，以最大程度減少誤報。同時，人工智能處理威脅情報時，往往只能處理結構化數據，而無法處理非結構化數據，這就導致了信息不全面，從而產生漏報。

2)人工智能算法本身也存在著被攻擊的風險，黑客可以通過注入惡意數據或攻擊算法模型，來干擾算法的判斷，從而影響威脅情報的分析結果。

3)伴隨著人工智能技術的發(fā)展，一些新型的攻擊方式也層出不窮，使得網絡攻擊更加普及和難以應對。一些黑客可以利用機器學習算法進行網絡釣魚，還可以利用人工智能技術對網絡進行掃描，發(fā)現網絡漏洞，對攻擊進行自適應等。

人工智能在威脅情報領域的典型應用

目前，人工智能技術已經應用于奇安信威脅情報生產運營流程的各個環(huán)節(jié)，也應用于威脅情報中心推出的多款安全產品中，其中，ALPHA威脅分析平臺的“威脅圖譜分析”模塊尤為典型。

知識圖譜是結構化的語義知識庫，通過將各種實體、概念和關系以圖形化的方式表達出來，從而構建出一個涵蓋了豐富知識的結構化數據集。知識圖譜的構建需要大量的數據積累和處理，人工智能技術可以通過自然語言處理、機器學習、圖像識別等技術，對非結構化數據進行分析和處理，將其中的實體、概念和關系與知識圖譜中的實體、概念和關系進行關聯，將海量的數據轉化為可用的知識圖譜。

ALPHA威脅分析平臺——威脅圖譜分析，是一款面向安全運營分析人員的可視化威脅分析工具，是知識圖譜的高級可視化呈現，通過構建知識層級的威脅情報查詢系統(tǒng)，針對某個單一的威脅實體，提供基于該實體的基本屬性、關聯關系、關聯節(jié)點屬性的結果數據集。

威脅圖譜分析支持對IP、URL、Hash、Domain、Email等多類型數據實體的單個查詢及批量查詢，采用多種人工智能領域優(yōu)化算法，自動化進行快速、精準的數據解析匹配，分析各類實體之間的關聯關系和各種行為之間的因果依賴關系，基于威脅發(fā)現能力模型，展示數據實體間的關聯關系，并提供多方位下鉆查詢、拓線溯源能力。該功能模塊可以實現攻擊者溯源及畫像，使得安全運營人員快速、高效地提取高價值威脅情報、挖掘異常行為、提升安全響應效率。

結語

RSA Security首席執(zhí)行官Rohit Ghai在RSAC2023大會的開幕式上說：“惡意黑客將在復雜的網絡釣魚活動中使用AI工具，并創(chuàng)建惡意GPT以偽造身份。網絡安全專業(yè)人士必須借助AI的力量才能消除這些威脅。”由此可見，人工智能席卷整個行業(yè)的同時，人類必須要做的不僅是依靠AI獲取更高的價值，還必須學會正視它的威脅，最大程度的駕馭這個行業(yè)“武器”，使“人類智能”與“人工智能”相輔相成。