ChatGPT強化零信任的十大方法

RSAC 2023討論最多的話題無疑是新發布的ChatGPT相關安全產品。

以ChatGPT為代表的生成式人工智能技術可極大提高威脅分析師、威脅獵人和安全運營中心（SOC）員工的學習和工作效率，這也是網絡安全廠商爭先恐后采用ChatGPT等生成式人工智能工具的主要動力。企業安全團隊可以通過人工智能增強的持續學習形成“肌肉記憶”來適應、響應安全事件，并在攻擊得手之前將其遏制。

在RSAC 2023發布新產品和集成的20家供應商中，最值得注意的是Airgap Networks，Google Security AI Workbench，Microsoft Security Copilot（在展會前推出），Recorded Future，Security Scorecard和 SentinelOne。

其中Airgap的零信任防火墻（ZTFW）與ThreatGPT尤其值得關注，二者通過在網絡核心中添加專用的微分段和訪問層來補充現有的外圍防火墻基礎結構 。“憑借高度準確的資產發現，無代理微分離和安全訪問，Airgap提供了豐富的情報來應對不斷變化的威脅，”Airgap首席執行官Ritesh Agrawal表示：“客戶現在需要的是一種無需任何編程即可利用這種功能的簡單方法。這就是ThreatGPT的美妙之處——人工智能的純粹數據挖掘智能與簡單的自然語言界面相結合。這對安全團隊來說簡直是游戲規則的改變者。”

ChatGPT加強零信任十大方法

用生成式AI增強網絡安全的最熱門應用是識別和加強企業最脆弱的攻擊面。此外，AI還能從多個方面加強零信任方案的安全能力，以下是生成式 AI加強NIST 800-207標準中定義的零信任核心框架的十大方法：

在企業層面統一威脅分析和事件響應

CISO們希望整合技術堆棧，因為威脅分析、事件響應和警報系統有太多沖突，而SOC分析師不確定什么是最緊迫的任務。生成式AI和ChatGPT已經被證明是整合應用程序的強大工具。他們最終將為CISO提供整個基礎架構中威脅分析和事件響應的單一視圖。

通過持續監控更快識別基于身份的內部和外部攻擊

零信任的核心是身份，而最容易阻止的攻擊行為往往來自內部，有著合法的身份和憑據。生成式人工智能有可能快速識別給定身份的活動是否與其之前的歷史一致。

LLM（大語言模型）的核心優勢之一是能夠根據小樣本量發現數據中的異常。這非常適合保護IAM，PAM和Active Directories。事實證明，LLM 在分析用戶訪問日志和檢測可疑活動方面是有效的。

克服微分段最具挑戰性的障礙

正確進行微分段面臨的諸多挑戰可能會導致大型微分段項目拖延數月甚至數年。雖然網絡微分段旨在隔離企業網絡中定義的分段，但它很少是一次性的任務。

生成式AI可以幫助確定如何在不中斷系統和資源訪問的情況下最好地引入微分段方案。最重要的是，它可以減少不良微分段項目在IT服務管理系統中創建的數以千計的故障單。

解決端點和身份保護面臨的挑戰

攻擊者往往在端點安全和身份管理之間尋找空隙。生成式AI和ChatGPT可以為威脅獵人提供所需的情報來幫助解決此問題，幫助他們快速了解哪些端點面臨最嚴重的攻擊風險。

為了強化安全響應的“肌肉記憶”，特別是在端點方面，生成人工智能可以用來不斷學習攻擊者如何滲透端點以及他們試圖使用的身份。  

將最低特權訪問提升到新高度

將生成式AI應用于通過身份、系統和時間長度限制對資源的訪問是最強大的零信任AI增強用例之一。根據資源和權限配置文件向ChatGPT查詢審計數據可為系統管理員和SOC團隊每年節省數千小時。

最低權限訪問的核心部分是刪除過時的帳戶。Ivanti的《2023年安全準備狀況報告》發現，45%的企業懷疑前員工和承包商仍然可以主動訪問公司的系統和文件。

Ivanti首席產品官Srinivas Mukkamala博士指出：“大型組織往往無法覆蓋所有應用程序、平臺和第三方服務的巨大生態系統，這些應用程序、平臺和第三方服務授予的訪問權限遠遠超過員工的任期。我們稱這些為僵尸憑證，數量驚人的安全專業人員，甚至是領導層的高管 ，仍然可以訪問前雇主的系統和數據。”

微調行為分析、風險評分以及安全角色的實時調整

生成式AI和ChatGPT能幫SOC分析師和團隊快速掌握行為分析和風險評分發現的異常情況，更快地阻止攻擊者的橫向移動。僅通過風險評分定義特權訪問將過時，生成式AI會將請求置于上下文中，并向其算法發送警報以識別潛在威脅。

改進的實時分析、報告和可見性，幫助阻止在線欺詐

大多數成功的零信任計劃都基于數據集成，后者匯總和報告實時分析、報告和可見性。企業可將這些數據用于訓練生成式AI模型，向SOC的威脅獵人和分析師提供前所未有的見解。

這有助于提高電子商務欺詐的檢測效率，擁有生成式人工智能歷史數據訪問權限的威脅分析師將能快速獲知標記的交易是否合法。

改進情境感知訪問，增強細粒度訪問控制

零信任的另一個核心組件是按標識、資產和端點劃分的訪問控制粒度。生成式 AI可用于創建全新的工作流，更準確地檢測網絡流量模式、用戶行為和上下文智能的組合，按身份、角色建議策略更改。威脅獵人、SOC分析師和欺詐分析師將在幾秒鐘內了解每個被濫用的特權訪問憑據，并能夠通過簡單的ChatGPT命令限制所有訪問。

強化配置和合規性，使其更加符合零信任標準

ChatGPT所基于的LLM模型已經被證明在改進異常檢測和簡化欺詐檢測方面是有效的。該領域的下一步是利用ChatGPT模型來自動化訪問策略和用戶組創建，并隨時了解模型生成的實時數據的合規性。ChatGPT將極大提高配置管理、風險治理和合規性報告的工作效率。

限制攻擊爆炸半徑：網絡釣魚攻擊

事實證明，ChatGPT在自然語言處理（NLP）方面非常有效，并且與其LLM相結合，可以有效地檢測電子郵件中的異常文本模式。這些模式通常是商業電子郵件入侵（BEC）欺詐的標志。ChatGPT還可以檢測識別AI生成的電子郵件并將其發送到隔離區。生成式AI正被用于開發下一代網絡彈性平臺和檢測系統。

總結：借助AI將零信任劣勢轉化為優勢

ChatGPT和其他生成式AI可以通過加強企業零信任安全的“肌肉記憶”來應對不斷變化的威脅情報和安全知識的挑戰。現在，企業應該將生成式AI視為一種關鍵的學習系統，后者通過觀察和檢測所有網絡流量、限制和控制訪問以及驗證和保護網絡資源，幫助企業不斷提高其網絡安全自動化水平和人力技能，更好地防御來自外部和內部的威脅。