洞见RSA 2023|人工智能与威胁情报的融合应用

一、概述

在网络安全领域,大数据正在改变威胁情报和人工智能,使安全团队能够灵活应对不断变化的环境。在2023 RSAC,微软副总裁John Lambert带来了议题Intelligence and AI at the convergence zone of data and threats。议题将重点讨论防御者如何利用威胁情报和人工智能提升威胁防御与检测能力,以减少日益增加的威胁影响。

二、人工智能&威胁情报&大数据

在网络安全的领域,人工智能(Artificial Intelligence),威胁情报(Threat Intelligence)、大数据计算(Hyperscale Data and Compute)作为在近些年兴起的技术,推动着网络安全防御的转型与强化。三者之间并非相互独立,而是存在着叠加力。其中一方的技术拓新或优化,亦推动着另外两方的不断进步,三者之间相辅相成,互为推动力。

大数据存储与计算成本的降低,为海量数据采集提供了可行性。从探针及各类检测与防护设备收集的告警信息,为威胁情报提供了更多更丰富的情报数据,进而推动威胁情报在检测防御与攻击面收敛方面的能力提升。

伴随着情报数据质量与数量的提升,威胁情报驱动的威胁检测可以发现更多的威胁信号。这些威胁信号又可以作为大语言数据模型的训练资源供其去学习,增强人工智能与机器学习的能力,使其能更好地应用于安全检测防护。实现威胁情报发现威胁线索,人工智能扩大安全防御范围(TI can find and AI can scale)。

三、具象化威胁命名

同一攻击组织的命名,通常会有多种的命名。例如APT28,它又被命名为Fancy Bear或 Sednit。这些命名通常来自不同的机构或组织,但是对于用户来说,这些命名往往过于抽象。从组织的名称上,用户无法直观地了解这个组织的特点,这样的命名缺乏记忆点。

为了解决这一问题,微软借用各种气象事件去重新定义和命名威胁组织。借助新的分类方法,用户以及安全研究人员可以更加清晰地处理大量威胁情报数据,以一种更有条理、更清晰、更简单的方式来引用和描述威胁参与者,帮助用户能够更好地确定优先级并快速采取安全措施。

微软将威胁组织分为五类:

国家行为体

代表国家或由国家相关团体指挥的攻击组织,其攻击行为通常源自间谍任务、经济利益或攻击报复。其行动和攻击多集中于政府机构、国际组织、以及非政府组织。

出于财务动机的参与者

由犯罪组织/个人指挥的攻击组织,其动机为经济利益,并且没有确凿证据表明其与非国家实体或经济团体相关。此类攻击组织使用包括勒索软件、网络钓鱼、商业电子邮件窃取等方式。

私营部门攻击行为者(PSOA)

由已知/合法的商业行为者领导的攻击组织,他们创建并向用户销售网络攻击武器,然后由用户选择目标并操作网络攻击武器完成攻击。

影响力操纵者

以操纵方式在线或离线传播信息,以改变目标受众的看法、行为或决定,达到特定的利益和目标的团体。

新兴组织

对未知的、新发现或正在发展的攻击组织的临时命名。待获取足够攻击行为特征,其会被合并至现有组织命名或被重新赋予新的组织名称。

在微软新的分类中,气象事件会作为攻击组织的姓氏来命名上述五大类攻击组织。就国家行为体来说,姓氏将指代攻击组织的归属国。例如,对于来自伊朗的攻击组织APT35,在新的命名方式下,它被命名为Mint Sandstorm。对于其他四类攻击组织,姓氏表示动机。例如,Tempest指代出于财务动机的参与者。同一天气系列中的攻击组织可以使用形容词来区分具有不同战术、技术和程序 (TTP) 、基础结构、目标或其他已识别模式的组织特征。

四、Cobalt Strike攻击与防护

Cobalt Strike 是一款面向全球的,使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。在近年来,凭借其多样的功能与可扩展性,受到攻击者的青睐。据Health-ISAC统计,全球19个国家,超过68起针对医疗机构的勒索软件攻击有使用Cobalt Strike。在SolarWinds供应链攻击事件中,Midnight Blizzard(又称NOBELIUM 或APT29)也是基于Cobalt Strike发动的攻击。

下图介绍了攻击者是如何一步一步从诱导受害者进行恶意软件下载,到安装恶意软件、窃取凭证,最终完成一次基于Cobalt Strike的勒索软件攻击。

五、AI如何赋能安全

在2022年年底,ChatGPT的发布掀起了人工智能与大语言模型应用新的浪潮。在网络安全领域AI同样有着广泛的应用前景,在本次分享中,John介绍了AI在网络安全的应用,包括:

  • 自然语言交互
  • 简化学习和编写自定义查询语法
  • 扩展知识与技术
  • 协助发现安全问题
  • 建立安全防护计划
通过应用以ChatGPT为代表的大语言模型,我们可以轻松实现自然语言交互或是要求其将文字需求转化为自定义的查询语法。而在代码及问题检测方面,其也可以帮助相关从业者快速完成问题排查。

此外,由于在其模型训练时已获取海量安全知识,作为网络安全知识的图书馆,其亦可协助用户获取或补足相关知识,协助建立安全防护计划,提升安全防护能力。

关于绿盟威胁情报中心

绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI),作为绿盟科技智慧安全3.0战略的重要组成部分,统筹公司的威胁情报生态和能力建设,对外提供威胁情报产品和服务。智慧安全3.0理念体系是绿盟科技在数字化经济形势下对网络安全面临新挑战的观察和对未来发展的深度思考,基于自身多年安全实践所提出来的创新型安全理念体系。该理念提出以体系化建设为指引,构建“全场景、可信任、实战化”的安全运营能力,达到“全面防护,智能分析,自动响应”的防护效果。

绿盟威胁情报中心依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,已经建立了完善的威胁情报生产、运营和应用体系;基于绿盟大数据分析平台,结合安全情报专家对情报数据进行深度挖掘分析,可以获得高质量的多维度威胁情报数据;这些威胁情报已全面应用于公司的各种安全产品和运营流程中,取得了良好的效益。绿盟威胁情报,致力于为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。

参考文献

[1] https://aka.ms/threatactors

[2] https://blog.csdn.net/LUOBIKUN/article/details/108707160

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author