AI可消除威脅情報的五大痛點

根據ESG的最新調查，98%的企業計劃在2024年增加威脅情報支出，但是威脅情報服務商需要借助生成式人工智能的力量來消除企業面臨的威脅情報五大痛點。

威脅情報淪為“學術活動”

如今越來越多的企業意識到威脅情報的重要性，但建立、管理威脅情報并從中獲益往往很困難。ESG研究表明，72%的企業（員工數量超過1000名）發現很難透過威脅情報噪音進行分類查找相關信息，63%的企業承認他們沒有合適的員工（數量）或技能來查找相關信息。

難怪82%的企業聲稱他們的威脅情報計劃通常被視為學術活動，因為威脅情報報告無法提供真正的價值或幫助指導風險緩解決策。

AI可緩解威脅情報的五大痛點

在另一項研究中，ESG調查了380名網絡安全專業人員，以確定他們面臨的最大威脅情報計劃挑戰。以下是企業威脅情報的五大痛點，以及生成式人工智能如何提供幫助的一些分析：

• 33%的網絡安全專業人士表示，威脅情報報告包含太多技術細節，導致業務經理難以理解。這并不奇怪，因為威脅情報分析師經常陷入有關入侵指標(IoC)、惡意軟件、對手戰術、技術和流程(TTP)、MITRE ATT&CK框架等的技術細節中。而生成式AI可以幫助威脅情報團隊創建適合不同技術和業務背景的用戶的報告。這與威脅情報用戶的反饋相結合可以幫助企業不斷提高報告的質量、相關性和及時性。
• 28%的網絡安全專業人士表示，威脅情報會產生大量噪音，使識別真正有價值的信息變得更加困難。許多企業威脅情報團隊秉承“越多越好”的理念，收集和處理盡可能多的開源和商業威脅情報，導致被淹沒在數據中，阻礙了有效的分析。生成式AI可以幫助威脅情報團隊確定與公司、行業和地區最相關的威脅情報數據作為基線，然后幫助逐步鎖定其他威脅情報源。這不僅會提高威脅情報計劃的價值，還能降低成本，因為企業能優化選擇支付最相關的威脅情報源并放棄邊際威脅情報源。
• 27%的網絡安全專業人士表示，識別和阻止IoC占用了太多資源和精力，阻礙了安全戰略價值的實現。生成式人工智能可以通過三種方式提供幫助。首先，它可以幫助加速IoC發現和修復，因為它包含在安全操作工作流程中。此外，它還提供了另一種工具來幫助威脅分析師與業務主管一起定義業務各個方面的優先情報要求（PIR）。最后，如前所述，它可以針對不同的用戶定制威脅情報報告。
• 25%的網絡安全專業人員表示，他們幾乎沒有具備威脅情報技能的專業人才。雖然生成式人工智能無法減輕對高級情報技能的需求，但它可以幫助培訓初級人員，同時通過創建檢測規則、評估文件/腳本是否惡意以及將漏洞與已知的漏洞進行比較來幫助提升威脅情報團隊的效能。
• 22%的網絡安全專業人士表示，他們沒能對攻擊者進行充分分析。該痛點與痛苦金字塔的模型相一致，該模型指出，企業對對手了解得越多（即TTP、工具、網絡/主機工件等），防御就越充分，對攻擊者則意味著代價更大，難度更大。生成式人工智能無法替代經驗豐富的頂級分析師，但它可以幫助縮小技能差距。

警惕生成式人工智能的神話

如今，Cybersixgill、Mandiant、Microsoft和Recorded Future等多家威脅情報提供商已宣布為其威脅情報產品和服務提供生成式AI支持，預計會有很多安全廠商跟進。但對于企業來說，需要警惕生成式人工智能的神話。

需要明確的一點是，AI不會取代威脅分析師或自行做出自動化決策，但它可以作為人手不足、勞累過度的威脅情報分析師或缺乏高級安全技能的人員的輔助應用。這對于CISO來說應該是一個好消息。ESG研究表明，98%的企業計劃在2024年增加威脅情報支出，但CISO首先應該弄清楚生成式人工智能應該如何融入威脅情報項目投資，如何緩解威脅情報項目的痛點，以及如何提升威脅情報項目的收益。