本文来自微信公众号“GoUpSec”。
根据ESG的最新调查,98%的企业计划在2024年增加威胁情报支出,但是威胁情报服务商需要借助生成式人工智能的力量来消除企业面临的威胁情报五大痛点。
威胁情报沦为“学术活动”
如今越来越多的企业意识到威胁情报的重要性,但建立、管理威胁情报并从中获益往往很困难。ESG研究表明,72%的企业(员工数量超过1000名)发现很难透过威胁情报噪音进行分类查找相关信息,63%的企业承认他们没有合适的员工(数量)或技能来查找相关信息。
难怪82%的企业声称他们的威胁情报计划通常被视为学术活动,因为威胁情报报告无法提供真正的价值或帮助指导风险缓解决策。
AI可缓解威胁情报的五大痛点
在另一项研究中,ESG调查了380名网络安全专业人员,以确定他们面临的最大威胁情报计划挑战。以下是企业威胁情报的五大痛点,以及生成式人工智能如何提供帮助的一些分析:
33%的网络安全专业人士表示,威胁情报报告包含太多技术细节,导致业务经理难以理解。这并不奇怪,因为威胁情报分析师经常陷入有关入侵指标(IoC)、恶意软件、对手战术、技术和流程(TTP)、MITRE ATT&CK框架等的技术细节中。而生成式AI可以帮助威胁情报团队创建适合不同技术和业务背景的用户的报告。这与威胁情报用户的反馈相结合可以帮助企业不断提高报告的质量、相关性和及时性。
28%的网络安全专业人士表示,威胁情报会产生大量噪音,使识别真正有价值的信息变得更加困难。许多企业威胁情报团队秉承“越多越好”的理念,收集和处理尽可能多的开源和商业威胁情报,导致被淹没在数据中,阻碍了有效的分析。生成式AI可以帮助威胁情报团队确定与公司、行业和地区最相关的威胁情报数据作为基线,然后帮助逐步锁定其他威胁情报源。这不仅会提高威胁情报计划的价值,还能降低成本,因为企业能优化选择支付最相关的威胁情报源并放弃边际威胁情报源。
27%的网络安全专业人士表示,识别和阻止IoC占用了太多资源和精力,阻碍了安全战略价值的实现。生成式人工智能可以通过三种方式提供帮助。首先,它可以帮助加速IoC发现和修复,因为它包含在安全操作工作流程中。此外,它还提供了另一种工具来帮助威胁分析师与业务主管一起定义业务各个方面的优先情报要求(PIR)。最后,如前所述,它可以针对不同的用户定制威胁情报报告。
25%的网络安全专业人员表示,他们几乎没有具备威胁情报技能的专业人才。虽然生成式人工智能无法减轻对高级情报技能的需求,但它可以帮助培训初级人员,同时通过创建检测规则、评估文件/脚本是否恶意以及将漏洞与已知的漏洞进行比较来帮助提升威胁情报团队的效能。
22%的网络安全专业人士表示,他们没能对攻击者进行充分分析。该痛点与痛苦金字塔的模型相一致,该模型指出,企业对对手了解得越多(即TTP、工具、网络/主机工件等),防御就越充分,对攻击者则意味着代价更大,难度更大。生成式人工智能无法替代经验丰富的顶级分析师,但它可以帮助缩小技能差距。
警惕生成式人工智能的神话
如今,Cybersixgill、Mandiant、Microsoft和Recorded Future等多家威胁情报提供商已宣布为其威胁情报产品和服务提供生成式AI支持,预计会有很多安全厂商跟进。但对于企业来说,需要警惕生成式人工智能的神话。
需要明确的一点是,AI不会取代威胁分析师或自行做出自动化决策,但它可以作为人手不足、劳累过度的威胁情报分析师或缺乏高级安全技能的人员的辅助应用。这对于CISO来说应该是一个好消息。ESG研究表明,98%的企业计划在2024年增加威胁情报支出,但CISO首先应该弄清楚生成式人工智能应该如何融入威胁情报项目投资,如何缓解威胁情报项目的痛点,以及如何提升威胁情报项目的收益。