作者: Palo Alto Networks 物聯網技術長 May Wang 博士
2024年2月26日台北訊–近年來,人工智慧(AI)已成為網路安全中不可或缺的要素,但大型語言模型(Large Language Models,以下統稱 LLMs)的廣泛應用,使得2023年成為一個格外令人興奮的一年。事實上,LLMs已開始改變整個網路安全的樣貌。然而,這也帶來了前所未有的挑戰。
一方面,LLMs使處理龐大資訊變得輕而易舉,讓每個人都能充分利用AI。它們能夠提供極大的效率、智慧和擴充性,用於管理漏洞、防止攻擊、處理警報和應對事件。
另一方面,對手亦可利用LLMs提高攻擊效率,利用LLMs引入的額外漏洞,而LLMs的濫用可能會造成更多的網路安全問題,例如由於AI的普遍使用而導致意外的資料洩露。
LLMs的部署需要重新思考資安的方式。這是一個更加動態、互動和客製化的過程。在硬體產品的時代,只有當硬體被下一個新版本的硬體替換時,硬體才會發生變化。在雲端時代,軟體可以更新、收集和分析客戶數據以改進下一個軟體版本,但只有在發布新版本或修補程式時才會進行。
現在,在人工智慧的新時代,客戶採用的模型具備了自身的智慧,能夠持續學習,並根據客戶的使用情況進行調整——無論是為了更好地滿足客戶需求,還是可能偏離正確方向。因此,我們不僅需要在設計階段將安全性納入考量——確保我們建立安全的模型並防止訓練資料被污染(Data Poisoning)——而且在部署後需要持續評估和監控LLM系統,以確保其安全、防護和道德性。
最重要的是,我們需要在我們的安全系統中內置智慧(就像灌輸孩子正確的道德標準而非僅限於規範其行為),這樣它們才能夠具備適應性,能夠做出正確且堅固的判斷,而不會輕易被不良輸入所影響而偏離正確方向。
LLMs對網路安全帶來了什麼,是正面影響還是負面影響?我將分享我們過去一年學到的東西以及對2024年的預測。
回顧2023
一年前,當我撰寫《機器學習在網路安全中的未來》(在LLM時代之前),我指出了AI在網路安全中面臨的三個獨特挑戰:準確性、數據匱乏和缺乏真實情況,以及三個常見但在網路安全領域更為嚴重的AI挑戰:可解釋性、人才匱乏和AI安全。
現在,一年後,在進行了大量探索之後,我們發現LLMs在這六個領域中的四個方面有很大的幫助:數據匱乏、缺乏真實情況、可解釋性和人才短缺。另外兩個方面,準確性和AI安全,雖然極其關鍵,但仍然非常具有挑戰性。
我將LLMs在網路安全中使用的最大優勢歸納為兩個方面:
1. 數據
有標籤數據
使用LLMs幫助我們克服了「有標籤數據不足」的挑戰。
高品質的有標籤數據使AI模型和預測更準確、更適用於網路安全案例。然而,這些數據很難獲得。例如,被入侵的組織並不樂於分享這些資訊,因此很難找到可以讓我們了解攻擊數據的惡意軟體樣本。
當使用LLMs時,它們能夠幫助我們收集初步的數據並根據現有的真實數據進行資料合成。這意味著它們可以利用現有的數據來擴充並生成新的數據,這些新數據涉及攻擊來源、媒介、方法和意圖等方面。這些資訊隨後可以用來建立新的偵測方法,而不僅僅受限於原有的現場數據。
真實情況
正如我在一年前的文章中提到的,在網路安全領域,我們並非總是能夠掌握真實情況。我們可以利用LLMs來大幅改善真實情況,方法是找出我們偵測中的漏洞以及多個惡意軟體資料庫,進而降低誤報率並且經常重新訓練模型。
2. 工具
LLMs使網路安全操作更輕鬆、更容易使用並更具操作性。到目前為止,LLMs對網路安全的最大影響是對安全營運中心(SOC)的影響。
例如,LLMs在自動化SOC方面的關鍵能力是函式呼叫(function calling),這有助於將自然語言指令轉譯為可以直接操作SOC的API調用。此外,LLMs還可以幫助安全分析師更智能、更快速地處理警報和事件應變。LLMs使我們能夠透過直接接受用戶的自然語言命令來整合複雜的網路安全工具。
可解釋性
先前的機器學習模型表現良好,但無法回答「為什麼?」的問題。LLMs具有潛力以精確且自信地方式解釋原因,這將有望改變遊戲規則,從根本上改變威脅檢測和風險評估的方式。
LLMs快速分析大量資訊的能力有助於將來自不同工具的數據進行連結:包括事件、日誌、惡意軟體家族名稱、來自常見漏洞和曝光(CVE)的資訊,以及內部和外部數據庫等。這不僅有助於找到警報或事件的根本原因,還大幅地減少了事件管理的平均解決時間(MTTR)。
人才匱乏
網路安全行業的失業率是負值。我們缺乏足夠的專家,人類無法應對龐大的警報數量。LLMs的優勢在於能夠快速組裝和消化大量資訊、理解自然語言命令、將其分解為必要的步驟,並且找到執行任務所需的正確工具,因此大幅減輕了安全分析師的工作負擔。
從獲取領域知識和數據到解析新樣本和惡意軟體,LLMs可以幫助加速建立新的檢測工具,從而使我們能夠自動執行識別和分析新的惡意軟體,並準確查明不良行為者等任務。
我們還需要為人工智慧基礎設施建立合適的工具,這樣就不必每個人都成為網路安全專家或AI專家,也能享受在網路安全中利用AI所帶來的好處。
2024年的三項預測:
在網路安全領域越來越廣泛運用人工智慧,顯然我們正處於一個新時代的開端——這是通常所謂的「曲棍球桿」增長的早期階段。我們對LLMs了解越多,就越能改善我們的安全狀態,這樣我們就越有可能在利用人工智慧方面領先對手。
雖然我認為在網路安全領域有許多值得討論的地方,尤其是關於人工智慧如何作為一種力量乘數來應對日益複雜和擴展的攻擊媒介,但有三個重點需要特別注意:
1. 模型
人工智慧模型將在建立深入的領域知識方面獲得重大突破,這些知識根植於網路安全的需求之中。
去年,人們非常關注改進通用的LLM模型。研究人員努力使模型更加智慧、更快速、更經濟實惠。然而,通用模型能夠提供的內容與網路安全的需求之間存在著巨大的差距。
具體而言,我們的產業不一定需要一個能夠回答如「如何製作菠菜蛋」或「誰發現了美洲」這種多樣問題的龐大模型。相反地,網路安全需要具有深入領域知識的高精度模型,涵蓋網路安全威脅、流程等方面的知識。
在網路安全中,準確性至關重要。例如,在 Palo Alto Networks ,我們每天從全球各地的SOC處理超過75TB的資料。即使是0.01%的錯誤檢測判定都可能造成災難。我們需要具有豐富安全背景和高精度知識的人工智慧,以提供針對客戶安全需求的客製化服務。換句話說,這些模型需要執行更少的特定任務,但要有更高的準確度。
工程師正在努力創建具有更具垂直行業和特定領域知識的模型,而我對於在2024年出現以網路安全為中心的LLMs充滿信心。
2. 應用案例
在網路安全領域,將出現轉型的LLMs應用案例,這將使LLMs在網路安全中成為不可或缺的一部分。
在2023年,人們對LLMs的驚人能力感到非常興奮。他們將這個「鎚子」用來試驗每一個「釘子」。
到了2024年,我們將意識到並非每個使用情境都是LLMs的最佳適用對象。我們將擁有真正針對特定任務的LLM-enabled網路安全產品,這些任務與LLMs的優勢相輔相成。這將真正提升效率、提高生產力、增強可用性、解決現實問題,並降低客戶成本。
想像一下,能夠閱讀成千上萬份關於安全問題的手冊,例如配置端點安全設備、排除性能問題、為新用戶提供適當的安全憑證和權限、以及根據供應商進行安全架構設計。
LLMs的能力以可擴展且快速的方式消化、總結、分析和產生正確的資訊,將改變運作方式,並徹底改革安全專業人員的部署地點和時間。
3. 人工智慧防護與安全性
除了將人工智慧用於網路安全外,如何建立安全的人工智慧並合理使用,而不損害其智能,是一個重要議題。在這方面已經進行了許多討論和工作。到了2024年,將會部署真正的解決方案,儘管可能還處於初步階段,但它們將是朝著正確的方向邁出的一步。此外,還需要建立一個智能的評估框架,動態評估人工智慧系統的安全性。
請記住,LLMs也可以被不法分子利用。例如,駭客可以輕鬆使用LLMs生成數量更大、品質更高的釣魚郵件。他們還可以利用LLMs創建全新的惡意軟體。但產業正更加合作與策略性地應對LLMs的使用,協助我們領先並持續保持優勢。
在2023年10月30日,美國總統約瑟夫·拜登簽署了一項行政命令,涵蓋了對人工智慧技術、產品和工具的負責和適當使用。該命令的目的是強調AI供應商必須採取一切必要措施,確保其解決方案被正確應用,而非用於惡意目的。
人工智慧安全性代表了一個真實的威脅,這是我們必須認真對待的問題,我們必須假設駭客已經開始設計對抗我們防禦措施的攻擊。人工智慧模型已經被廣泛使用,這一事實導致了攻擊面和威脅媒介的大幅擴展。
這是一個非常動態的領域。人工智慧模型每天都在進步。即使AI解決方案已經部署,模型也在不斷演進,從不停滯不前。持續評估、監控、保護和改進都是非常必要的。
攻擊將利用人工智慧的情況經越來越多。作為業界,我們必須將開發安全的人工智慧框架作為首要任務。這將需要一個類似當年登月計畫的投入,涉及到供應商、企業、學術機構、政策制定者、監管機構——整個技術生態系統的合作。毫無疑問,這將是一個艱鉅的任務,但我們都意識到這項任務的重要性。
結論:最好的時代尚未到來
從某種意義上說,像是ChatGPT等通用AI模型的成功,已經在網路安全領域讓我們變得有些嬌生慣養。我們都期望可以建立、測試、部署並不斷改進我們的LLMs,使其更加注重資安,但事實卻提醒我們,網路安全是一個非常獨特、專業且棘手的領域,運用人工智慧也並非易事。為了使其發揮作用,我們需要確保所有四個關鍵方面都正確:數據、工具、模型和使用案例。
好消息是,我們可以接觸到許多聰明、心志堅定的人,他們具有遠見,了解我們為何必須朝更精準的系統邁進,這些系統結合了能力、智能、易用性,也許最重要的是與網路安全的關聯性。
我很幸運能夠在這個領域工作了相當長的時間,我每天都對我在Palo Alto Networks內部以及周圍行業的同事所取得的進步感到興奮和滿足。
回到作為預言者的棘手部分,要對未來有絕對的把握是相當困難的。但我確實知道這兩件事情:
● 2024年將是人工智慧運用於網路安全的非凡之年。
● 2024年與即將到來的未來相比將顯得相形見絀。
如欲瞭解更多資訊,請點擊此。
關於Palo Alto Networks
Palo Alto Networks是全球網路安全領導者,致力於透過創新來超越網路威脅,讓企業能夠充滿信心地擁抱技術。我們在全球為成千上萬個來自不同領域的組織提供新世代網路安全支援。Palo Alto Networks 一流的網路安全平台及服務以領先產業的威脅情報為後盾,並由最先進的自動化技術而強化。透過提供產品協助實現零信任企業、回應安全事件,或是與世界級的生態圈合作確保更好的安全成果,我們始終致力於幫助實現「每一天都比前一天更安全」的目標,而這正是Palo Alto Networks 成為最佳網路安全合作夥伴的原因。
在Palo Alto Networks,我們承諾匯集最優秀的人才,為達成上述的使命而努力。所以我們也很自豪地成為網路安全領域的首選工作場所,並在近期獲選為新聞周刊「最受歡迎工作場所」(Newsweek Most Loved Workplaces, 2021) 、「多元化最佳公司」(Newsweek Comparably Best Companies, 2021),以及HRC 「最佳LGBTQ平等企業」(HRC Best Places for LGBTQ Equality, 2022)。如欲瞭解更多資訊,請造訪 https://www.paloaltonetworks.com/。