GPT-4杀进网络安全,攻击面管理今后该怎么做?
Posted 螣龙安科
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了GPT-4杀进网络安全,攻击面管理今后该怎么做?相关的知识,希望对你有一定的参考价值。
从GPT-4的正式发布到现在还不到半个月,科技圈热闹得像过年一样,尤其是OpenAI的金主微软爸爸,感觉它三天两头地在做产品升级发布会——Office全家桶、Copilot X、Bing、Edge……
一连串融合了AI技术的产品组合拳打得让人应接不暇,频频在行业内掀起浪潮。
这不,凌晨微软又宣布将AI投身于网络安全行业了,推出了Security Copilot。
Security Copilot ,相当于网络安全的从业人员的AI小助手,在它的帮助下,我们可以更快地识别网络入侵,更好地梳理和理解每天接收到的海量信息和数据。
它的核心技术就是当前大火的 GPT-4 生成式AI和微软的安全专用模型所相结合。
基本的表现可以总结为以下几点:
1
1
1
全面的网安行业知识百科
跟ChatGPT的界面类似,使用Security Copilot 的时候也是在一个聊天对话框中进行。依托于微软每天接收到的65万亿个网络安全威胁信号和“教”给它的网安行业专属技能,你可以问它所有关于网络安全方面的问题,它就会给出相关的解答(不过不要全盘相信哦,毕竟GPT的老问题我们也都懂)。
1
2
1
极速的效率提升神器
网安工作是一场拼速度的考验,Security Copilot 可以协助简化安全流程,自动化地对网络安全事件评估,实现“分钟级”的响应,让用户更直观地看到最重要的安全信息并协助做出防护决策。
1
3
1
一个漏洞分析研究院
提前预判黑客的预判!
Security Copilot在发现安全问题后,会借助微软网络安全威胁库深度分析攻击行为,并预测黑客下一步的行动以及抵御方法。
1
4
1
全自动分析报告生成器
可能是借了姐妹产品Office的光,Security Copilot还可以对所探查到的事项(安全事件、漏洞描述、安全分析等)作出总结,并制作相关PPT,对于汇报材料来说,网安人又省力了一把。
简而言之,Security Copilot能够在大模型的运行下通过提供、汇总威胁情报,来增强网安行业人员的能力,弥补人力所不及的缺失项,使我们能够更快地发现危机,更好地处理安全弱点。
网络安全业务的痛点也在随着数字化转型的不断加深而层出不穷。
如何更快速地检索出企业所有的网络资产?
怎么让安全工作更高效更节费地开展?
怎样在黑客攻击前就提前找到安全弱点?
如何给到用户友好度更高的产品体验?
………………
微软对于这次产品更新的理念,其实与我们不谋而合,新产品的功能点也基本踩准了以上司空见惯了的行业痛点,
核心要义无非在于,怎样更好地用机械去替代人力,实现更高效的自动化和可视化。
螣龙安科其实也在致力于借力AI解决这一难点。
源于对AI基础设施-知识图谱的妙用,螣龙安科开发了对海量资产关系梳理和展现的解决方案:天眼ASM。
系统内的AI可以智能地基于节点之间的关系和力导向作用进行运算,对于海量数据可以将节点进行归类展示,从而实现高度的可视化。
螣龙天眼ASM-3D演示效果
对于企业来说,操作也很便捷只需要通过录入简单的种子信息(IP/域名/企业名称等)。
螣龙天眼ASM就可以根据种子为核心,在AI智能引擎以及近百个全球化数据源的加持下,为企业客户自动化地拓展出完整的网络空间资产。
天眼ASM还能对弱点项(即漏洞)进行检测和异动监控,从而实现自动化地发现、管理资产以及对安全风险的预警。
螣龙天眼ASM-操作演示界面
这些都是天眼ASM系统可以“自己”完成的事项,对于操作人来说,其实只需要“输入”、“标签分类”、“内容管理”以及在日常做好相应的维护即可,不再需要依赖于传统的人力来进行重复性的劳动了。
螣龙天眼ASM,赋予了企业从内部管理和外部攻击者的角度,就比较有效地解决资产和漏洞可视化和自动化梳理的难题。
跟Security Copilot的理念一样,我们从源头简化了企业对于资产管理和安全运维的难度和成本。
人工智能的发展和应用实在是太快了,毫无疑问,AI的确会改变安全领域内技术方面的互动方式,但是他们给到的答案不总是正确的,很多时候仍然需要人工进行矫正。
Security Copilot 的发布,说实话确实让不少网安人担忧自身的同时,也不免对如此智能化的系统心动。
可以预见的是,有了AI小助手,今后的安全工作会带来更多的可能性,我们的工作效率在此之下也会极大地提升,将自己投身于需要更多创造力和精力的高价值工作模块。
后续,我们将第一时间跟进Security Copilot的相关进展,为大家带来热乎乎的用户反馈~
最后的最后,记得点关注,将我们的频道“标星”,不错过最新的行业资讯分析和有趣有料的干货哦~
参考资料:
https://www.microsoft.com/en-us/security/business/ai-machine-learning/microsoft-security-copilot
网络安全之资产及攻击面管理
“摸清家底,认清风险”做好资产管理是安全运营的第一步。那么什么是资产,资产管理的难点痛点是什么,如何做好资产管理,认清风险。带着这些问题我们来认识一下资产及攻击面管理。
一、资产的定义
《GBT 20984-2007信息安全技术信息安全风险评估规范》中,对于资产的定义为“对组织有价值的信息或资源,是安全策略保护的对象”。
对于网络空间资产来说,这里的资产是指赛博空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体对象包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等。概括来说,只要是可操作的对象,不管是实体还是属性。都可以称之为“网络空间资产”。
借用“魔方安全”的图,一切可操作对象和属性,都是资产。
二、资产管理的挑战
通过上面的定义和图示,可以看到其实网络空间资产,所涉及的覆盖面特别广,给企业资产管理安全运营带来的巨大的挑战:
1、对象多
按数字资产类型划分如网站、IP、域名、移动门户和云服务等一切可能被潜在攻击者利用的设备、信息、应用等都是网络空间资产。所以资产管理需要纳管的类型多,且随着业务的互联网化、社交化,导致资产及暴露面快速增长。
2、分布广
随着数字化应用的深入,资产分布在多个数据中心、私有云、公有云、混合云、边缘计算和物联网等各种基础设施环境中,照成了资产信息割裂碎片化,给资产的统一管理带来了困难。
3、变化快
随着数字化转型业务发展和新型IT技术应用,为快速响应市场和业务需求,互联网暴露资产无时无刻都在跟着生产运营动态变化。
4、更隐蔽
影子资产的存在,包括钓鱼欺诈网站、暗网交易数据、用户信息泄露、代码仓库等外部隐藏的企业资产,给企业经济或商誉上带来更大的伤害。
三、解决方案
一切可能被潜在攻击者利用的设备、信息、应用等都是网络空间资产。你永远都无法知道攻击者如何利用这些网络空间资产进行攻击。
所以摸清家底是第一步,要搞清楚自己的资产都有哪些,分布在那里,有哪些漏洞风险。这里互联网暴露资产及影子资产尤为关键。影子IT(shadow it):指那些不在企业和组织IT部门掌控下的IT设备、软件及服务。影子资产就是影子IT中资产。互联网暴露面是网络攻击的入口,是网络安全运营的第一道防线;影子资产的存在更是让安全运营人员防不胜防,因为“你无法保护你看不见的东西”。为了解决这些问题业界推出了攻击面管理的概念。
攻击面管理以保护组织数字资产安全为出发点,聚焦在攻击者视角去审视网络空间内不同形态种类的资产所组成的攻击暴露面,同时特别强调“可观测性”、“可运营”,这意味着资产的全面性可度量、风险可度量、响应处置可度量。
攻击面管理的包括暴露面资产全面发现、资产脆弱性风险识别、多源数据融合分析、专项暴露面收敛。
1、暴露面的全面发现
暴露面的发现主要以攻击者视角为主,涵盖外部信息、网络资产等维度。
外部信息包括攻击者能够收集到的机构信息、在开源代码共享平台上的代码、外部接口等。
- 机构信息收集
潜在攻击者首先会搜集用户的机构信息,搜集维度包括但不限于总部及分支机构名称、品牌、安全管理制度、业务运行时间、集团行政架构、各分支机构间的关系等等;针对高权限的IT管理人员,重点搜集姓名、邮箱、手机号、VPN账户、昵称、社会关系等等;搜集渠道主要有各大搜索引擎、天眼查类平台、网盘文库、官网、公众号、钉钉群、微信群、代码共享平台等。因此,安全团队可以通过外部攻击面发现平台,对此类信息做持续周期性的发现。先于攻击者发现此类资产,为响应收敛争取时间。
- 源代码发现与收敛
代码共享平台存在隐匿的攻击暴露面,例如管理后台URL、VPN账户密码等,开发运维人员因缺乏安全意识,无意中将此类敏感信息上传至GitHub、Gitee等代码共享平台,为信息安全事故埋下导火索。攻击者主要是以用户机构的业务关键字、品牌名称、公司名称、IT人员的个人GitHub账户等渠道搜集这类信息,因此安全团队应以技术监测手段与内部行政管理相结合的方式,对此类攻击暴露面进行持续发现、收敛。
- 外部接口管理
除了代码平台,还有一类常被忽视的攻击暴露面是外部接口,如与合作伙伴或第三方平台的API数据接口,与微信公众号菜单对接的URL、小程序或H5中隐含的数据接口等。这类外部接口,开发测试使用过后,即随着项目结束而被遗忘,极易成为潜在的攻击暴露面。同代码平台监测一样,安全团队应当以“技术+管理”相结合的方式,对此进行持续发现、收敛。
- 网络资产攻击面覆盖
通过扫描探测、流量监听、主机代理、特征匹配、其他CMDB系统对接等多种方式,持续动态的发现、汇集资产数据,建立与业务之间的关联关系,安全责任落实责任人,做到摸清家底,解决资产掌握的“不准”、“不全”问题。建立统一的资产台账,对台账数据进行定期自动化探测稽核以及持续动态监测,发现未能了解或掌握暴露于网络空间的资产攻击面,对未申报的遗漏暴露面资产(影子资产)进行自动发现并预警,解决“大海捞针”的工作困扰。
2、脆弱性风险识别
脆弱性风险识别包括弱口令识别、漏洞发现、安全配置不合规项的检查识别
- 弱口令识别
弱口令没有严格和准确的定义,通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。近年来,账户密码的不断泄露导致暗网的密码数据库不断增加,日益开放的网络环境降低了边界的可防御性,远程设备的迅速涌入使互联网络上的用户和终端身份的安全管理更加复杂。可以说,金融行业的弱口令攻击面仍然是在不断扩大的。因此,攻击面发现能力中,对攻击面脆弱性的评估,首先还是要关注弱口令。
弱口令的发现方式相对也并不复杂,在发现管理后台页面、口令认证接口等类型资产时,相关产品或工具能够进一步辅以口令字典进行测试即可。这里的字典要支持用户上传进行自定义,同时针对不同的资产发现场景和任务,修改不同级别的弱口令测试强度,不影响业务。
- 漏洞发现
作为攻击者,往往依赖于新爆出的0day或1day漏洞。这就决定了在新的漏洞威胁出现后,安全团队需要抢在攻击者之前,更快、更全、更准地定位潜在受漏洞威胁的风险资产。攻击面管理首先要做到在漏洞爆发之前,就对资产台账中的所有资产信息按照业务优先级进行标记,同时对所使用的系统、应用、中间件及资产的版本号等关键信息做到精细管理、持续更新。如此一来,在漏洞爆发时,才能第一时间做到资产快速筛选、PoC快速分发、漏洞精准匹配、虚拟补丁临时修复等快速检测与响应,赶在攻击者行动之前完成风险收敛。
- 安全配置合规检查
安全配置通常都是由于人为的疏忽造成主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。攻击者往往利用主机、中间件的如脆弱的访问控制配置漏洞进行渗透。安全配置基线合规管控方案是能够有效保障网络设备、信息系统安全的手段之一,其内容主要涉及:登录配置、远程管理保护、访问控制、安全日志、安全协议等多方面内容,只有实现及时自动的采集和核查发现安全配置不合规项并进行整改,才能更好的保障网络资产的安全。
3、多源数据融合分析
随着数字化应用的深入,资产分布在多个数据中心、私有云、公有云、混合云、边缘计算和物联网等各种基础设施环境中,无论用户的单独一个部门亦或是单独某一家供应商,不可能覆盖所有资产,因此,统一的攻击面管理一定要具备“多源资产数据的接入并融合分析”的能力。主要解决统一可视化管理的问题,包括资产的可视化、资产与资产之间的关系可视化、风险可视化、业务影响可视化、责任可视化。这都要求具备统一的资产及攻击面管理平台实现多源资产数据的统一接入汇聚,多源数据的融合与分析。
- 多源资产数据接入
应能对接的多源资产数据,包括但不限于CMDB、终端管理平台、AD域等运维数据,以及NDR、EDR、HDR(含HIDS)等具备资产发现能力的安全产品及解决方案。接入范围应该覆盖企业数据中心、私有云、公有云、混合云、边缘计算和物联网等各种基础设施环境中的所有的数据资产数据。
- 数据融合与分析
多源资产数据接入汇总后,并非简单的叠加,而是要进行持续的交叉验证、去重/扩充、属性补全、标记等操作。需要结合业务数据流、网络流量、访问拓扑等多个维度,综合描绘出资产之间的关系链,建立“人-地-网”进行深度的关联和立体化模型,对地理、资产、事件、情报等大数据进行融合分析,结合可视化呈现技术,实现企业整体统一全面的资产地图,让网络资产“看得到、看得清、管得好",到对于攻击能够“防的住”。
4、专项暴露面收敛
通过前面的暴露面资产发现、脆弱性设别筛选定位出所有潜在威胁的风险资产,然后根据资产的业务优先级、所属部门,下发不同的响应策略。在不影响业务连续性的前提下,确定漏洞修复方案前,对部分资产做临时下线处理。对于一小部分受业务连续性要求,既不能下线又不能修复的资产,则通过“虚拟补丁/透明补丁”的方式临时加固,待将来允许时,再行修复。
博客:http://xiejava.ishareread.com/
以上是关于GPT-4杀进网络安全,攻击面管理今后该怎么做?的主要内容,如果未能解决你的问题,请参考以下文章
螣龙安科携攻击面管理和BAS再上榜!2023网安行业全景图速看
人工智能在攻击面管理的应用,螣龙安科受邀ISC上海分会分享实录