生成式AI赋能安全领域！基于Amazon Bedrock的创新实践

网络犯罪分子如今运用更为高级的工具实施攻击，对企业安全构成严峻挑战。他们采用生成式AI快速部署勒索软件，实施深度伪造的社交工程攻击，发动低廉却先进的网络钓鱼，运用复杂编码技术，甚至借助地下的一站式勒索软件商店。

面对多样化的人工智能辅助攻击手段，资源捉襟见肘的安全团队承受着巨大压力，他们必须全天候防御来自各个渠道的渗透攻击。他们需要调查每一个警报，无论看似多么微不足道，都需要视为威胁严格审查。

为有效应对日益复杂的网络威胁，企业可部署生成式AI驱动工具实现调查流程的自动化和智能化，通过提出正确的问题并在亚秒级时间内检索答案。Trellix的研究表明，高达91%的首席信息安全官对生成式AI在增强组织安全能力方面的潜力表示期待。

抵御生成式AI网络犯罪的第一步是构建一个坚固的防御环境：打造一个周密的基础设施，实现对关键领域的全面监控，从而发现勒索软件等重大威胁。

构建此环境需设立三重防线：检测、调查和响应。

安全检测与预防工具能提醒安全团队关注攻击或入侵行为，包括终端防护、网络监测、反网络钓鱼及事件异常检测等。

尽管这些安全控制措施可能在大多数情况下预先阻截，但高度定向或偶尔突破防御的威胁行为仍可能绕过初始预防措施。因此，部署能够覆盖众多入侵途径的全方位安全工具，对于确保环境安全至关重要。

防御者必须能够拦截恶意文件、URL和电子邮件。这些保护措施能够预防99%的攻击，但剩下的1%仍然是一个巨大的问题。

事件触发后，防御者需获取准确上下文以明确事件经过。然而，预判哪些信息对界定安全事件范围有价值，可能存在一定难度。

防御者应从多渠道收集尽可能全面的数据，包括但不限于：

• 用户身份验证审计记录

• 账户权限变更审计记录

• 网络连接记录

• 代理服务器与URL访问记录

• 关键业务应用程序的遥测数据

• 云基础设施审计日志

• 目录及人员信息

• 各安全工具生成的安全警报

使用生成式AI进行自动化调查

为应对勒索软件的迅速传播，检测、调查与响应流程必须实现自动化，并借助生成式AI承担主要调查任务。

防御者应利用预先构建的调查框架，确保AI在调查中具备坚实基础，即在特定安全警报触发后，依据预定义的关键问题清单展开工作。问题质量直接关乎答案的准确性，因此，全面的安全遥测数据阵列至关重要，它能为AI驱动的调查提供快速、准确的上下文信息。缺乏这些问题与答案，AI的调查能力将仅限于初始警报范畴，难以深入。

人工智能初级分析师

假设安全信息和事件管理（SIEM）系统检测到来自可识别IP地址的暴力破解攻击，并据此触发了应用程序登录系统的警报。

• 该用户拥有什么级别的访问权限？

• 该用户通常多久访问一次这个环境？

• 在此期间是否创建了其他可疑账户？

• 攻击发生时，该用户是否身处办公室之外？

客户案例

Cyberuptive作为一家专注于网络安全的咨询公司，希望扩展其托管安全服务提供商（MSSP）计划，在不增加人力的情况下服务更多客户。为此，公司亟需优化现有的安全运营流程，提高威胁检测与响应效率。

Cyberuptive深知调查过程中先进自动化的重要性，因此致力于优化流程，以更快速、高效地应对新兴威胁。

通过在调查过程中引入Trellix Wise生成式AI——这是一种基于Amazon Bedrock构建，并集成于Trellix XDR的超级自动化技术，帮助Cyberuptive大幅缩短了响应时间，提高了事件处置效率，并全面增强了安全防御能力。生成式AI的赋能，使Cyberuptive能够为客户提供卓越的安全支持、更高效的响应速度和前沿的威胁情报，从而在竞争激烈的市场中脱颖而出。