AI對決:資安攻防戰再升級
微軟資安防禦工具全面強化AI及整合GPT,力抗以AI持續精進攻擊手法的駭客團隊
AI已成為資安攻防的新戰場,當駭客開始運用AI來精進攻擊手法的同時,企業的防禦機制也必須透過AI協助偵測分析,加強抵禦,才能與之抗衡。
然而,傳統的資安防禦工事是以功能來採購解決方案,資安工具的碎片化成為常態,要讓這些原本不具備AI功能的資安工具智慧化也是幾近不可能的任務。因此,微軟除了在既有資安解決方案加強AI偵測,未來更進階到Security Copilot,透過以GPT模型打造的生成式AI工具,將可協助資安人員透過自然語言對話的方式,更加快速且全方位地因應資安事件。
打造端到端的完整防禦機制
以AI來協助偵防是微軟資安產品智慧化的起手式,針對駭客入侵的步驟及作法,微軟都有相對應的工具。
駭客入侵的第一步是尋找組織破口並植入惡意程式或執行惡意程序,以電子郵件挾帶檔案或網址來誘騙使用者下載惡意程式和執行程序,則是常見的方式。Microsoft Defender for Office 365正是把關電子郵件的利器,可逐一偵查電子郵件是否挾帶惡意程式或連結。
而在惡意程式或程序被下載到端點後,駭客的第二步就是控制端點。Microsoft Defender for Endpoint不僅可以做到端點偵測及回應(EDR)、進行惡意程式偵防,還能協助企業了解端點有哪些弱點,例如:尚未安裝最新的修補程式,或者安全設定不完善。
奪取端點帳號後,駭客會在內網橫移,尋找更有價值的標的或進行提權。Microsoft Defender for Identity可偵測內網裡異常的橫移或偵查行為,並協助用戶保護地端的AD,避免駭客盜取更有價值的帳號進行提權。
駭客的第三步就是竊取寶貴的資料,Microsoft Information Protection則藉由機器學習和AI技術來強化資料安全、提升偵防率並降低誤報率。透過入侵步驟的解析,也驗證了微軟在資安面提供了端到端的防護,而非僅止於單點解決方案。
以AI提升資安工具的偵防能力
微軟將AI融入資安防護的作法,著眼於三個目標,分別是保護重要的IT資產並防範威脅、以零信任為前提來協助用戶做到更完善的身分認證與保護,以及全方位的資料防護。
以AI化的資安偵防為例,Defender for Endpoint可透過內建在用戶端的機器學習引擎來辨識惡意程序或程序,第一時間進行封鎖。但駭客技術規避端點偵測的能力不斷精進,如果端點無法判別,就會將有疑慮的檔案上傳至雲端,雲端強大的運算資源、機器學習模型和Intelligent Security Graph情報網的結合,除了是提升辨識能力的利器。也能儘快在第一時間隔離惡意檔案。
以2017年在歐洲蔓延開來的Bad Rabbit勒索病毒為例,在第零號病人下載檔案時,Defender for Endpoint就察覺程式異常,而在第一例受害案例出現後的14分鐘,微軟的機器學習已確認惡意病毒並全面更新模型,這也說明了Defender for Endpoint雲地整合模式的時效優勢。
而在身分保護部分,微軟提供完整的零信任平台來協助用戶進行身分驗證,結合端點的資安軟體來確保使用者用於登入的設備是否安全,以及用戶登入的地點、存取的程式,是否符合組織政策。微軟的零信任平台可協助企業根據政策來設定條件式存取,也能結合微軟每天收集高達65 兆 的威脅情資,協助用戶更好的判斷使用者的登入過程及其風險度。
至於資料安全防護,傳統使用資料外洩防護(DLP)方案來確認及阻絶資料外洩狀況,但DLP也常造成資安或IT團隊疲於奔命處理假警報。Microsoft Information Protection最新的 Adaptive Protection適應性防護 正是透過機器學習和AI技術結合組織設定權限以及使用者行為來降低誤報率、強化資料安全並提升偵防率。
事實上,使用者存取的行為和範圍是否符合職務所需才是判斷關鍵。舉例來說,Microsoft Information Protection會提高即將離職員工的風險度,一旦出現將檔案改名改存USB之後刪除原檔等行為,就會立即被判定為高風險。
Security Copilot讓資安人員如虎添翼
以 OpenAI大型語言模型GPT和微軟專用的資安模型為基礎所開發的Microsoft Security Copilot,則是即時回應事件、進行威脅獵捕、自動產出安全報告的新利器,同時也有助於克服當前企業常見的資安困局,例如:資安工具的資訊格式不統一、資安訊息碎片化、資安人員技能與工具熟悉度不足。
以往資安人員通常是以SIEM軟體結合收集到的Log和情報,透過人工分析的方式來找出組織發生的惡意事件。但未來則可透過 Microsoft Security Copilot,讓防禦者透過自然語言對話的方式,要求其分析並找出是否發生惡意行為。
以2022年出現的Apache Log4j弱點為例,相較於以往自行上網搜尋相關資訊的作法,資安人員只需以口語指令詢問Security Copilot,模型就會結合Microsoft Defender for Threat Intelligence和微軟的情報網,全面匯整這個弱點的相關資訊,並以自然語言進行解說及分析對組織的影響。資安人員還能善用其深入追問功能,由Security Copilot條列出接下來應該執行的工作。
針對威脅獵捕的影響分析,資安人員的傳統作法是切換不同的資安工具,在大量Log中找出警示產生的影響及攻擊路徑。Security Copilot則可串接微軟的全線資安工具,在事件發生的當下立即拼湊出事件的起源與全貌,包括事件來自哪個使用者開啟了哪個惡意程式、當時使用的端點,還能進一步結合Microsoft Sentinel,繪製出惡意程式的攻擊路線圖。即時的逆向工程亦是傳統資安工具缺乏的能力,以Security Copilot結合微軟雲端的沙箱技術,就能了解惡意程式會執行哪些程序。進一步結合Microsoft Sentinel,以Security Copilot繪製出惡意程式的攻擊路線圖。針對用戶關注的資料保護課題,Security Copilot同樣遵循微軟Copilot全線服務的三大承諾,也就是用戶的資料所有權百分之百屬於用戶所有、微軟不會使用用戶的資料或問答歷程來訓練模型、微軟保證用戶資料的保全遵循合規法遵所需。
透過與微軟全線資安產品的整合,以及每天新增65 兆的海量資安情報,Security Copilot不僅以自然語言的問答方式改善人與資安軟體的互動,也為必須持續不懈的資安防禦工事,提供了最即時、最到位的支援。如此一來,不但能因應駭客層出不窮且不斷精進的攻擊手法,也能順勢化解資安專業人才不足且需要時間養成的長期挑戰。
延伸閱讀與補充資源
《身分識別管理:「零信任」安全性的基礎》
周邊型安全模型已經過時,本電子書將幫助您了解現代身分驗證方案該有的樣貌。
《Microsoft 網路防禦營運中心的最佳做法和經驗教訓》
本電子書分享了Microsoft 安全性作業中心的最佳做法和經驗教訓,立即了解如何強化並集中資安力量、全面抵禦威脅!
原文請見 iThome
