如今，AI無(wú)處不在，它存在于你的收件箱、社交信息流，甚至你的汽車(chē)?yán)铩Ｔ诰W(wǎng)絡(luò)安全領(lǐng)域，它被吹捧為一種“靈丹妙藥”，最終能讓防御者跟上攻擊者的步伐。我見(jiàn)識(shí)過(guò)足夠多的炒作周期，深知事實(shí)遠(yuǎn)非如此簡(jiǎn)單。

AI在威脅狩獵中的應(yīng)用也不例外——它功能強(qiáng)大，但并非包治百病的良藥。

不久前，許多公司出于對(duì)數(shù)據(jù)泄露和生產(chǎn)效率風(fēng)險(xiǎn)的擔(dān)憂，直接禁止使用ChatGPT等工具。開(kāi)玩笑的，現(xiàn)在很多公司依然這么做。

然而，時(shí)光飛逝，一年后的今天，CISO開(kāi)始嘗試?yán)米灾魇紸I實(shí)現(xiàn)工作流程自動(dòng)化，并填補(bǔ)技能缺口。與此同時(shí)，攻擊者也沒(méi)閑著，他們利用AI優(yōu)化網(wǎng)絡(luò)釣魚(yú)誘餌、生成深度偽造內(nèi)容，甚至編寫(xiě)數(shù)據(jù)勒索攻擊的部分腳本。

但有一個(gè)重要區(qū)別：在攻擊中使用AI完成單個(gè)步驟，與AI主導(dǎo)整個(gè)攻擊行動(dòng)截然不同。那種AI驅(qū)動(dòng)的殺傷鏈超越人類(lèi)防御者的設(shè)想，目前仍只是科幻而非現(xiàn)實(shí)。就目前而言，最有趣的情況發(fā)生在防御者一方，AI開(kāi)始在人類(lèi)主導(dǎo)的威脅狩獵中扮演實(shí)用的“副駕駛”角色。

現(xiàn)實(shí)框架：TaHiTI

AI在威脅狩獵中新興作用最有趣的方面之一，是英特爾471公司發(fā)布的報(bào)告，詳細(xì)介紹了他們?nèi)绾芜\(yùn)用TaHiTI(Targeted Hunting integrating Threat Intelligence，即結(jié)合威脅情報(bào)的目標(biāo)狩獵)來(lái)簡(jiǎn)化和自動(dòng)化威脅狩獵流程，該框架在金融領(lǐng)域開(kāi)發(fā)，將狩獵過(guò)程分為三個(gè)階段：?jiǎn)?dòng)、狩獵和收尾。它不依賴(lài)于特定供應(yīng)商，為原本可能混亂無(wú)序的工作提供了結(jié)構(gòu)框架。

英特爾471的高級(jí)威脅狩獵分析師Scott Poley指出，TaHiTI之所以有效，正是因?yàn)樗从沉酸鳙C活動(dòng)的周期性。你不能只測(cè)試一次假設(shè)——你需要不斷優(yōu)化它，在你的環(huán)境中運(yùn)行，并反復(fù)迭代，直到區(qū)分出正常行為與真正的惡意行為。

AI可以加速這一過(guò)程，但它無(wú)法取代將理論與現(xiàn)實(shí)區(qū)分開(kāi)來(lái)的機(jī)構(gòu)知識(shí)。

智囊團(tuán)，而非預(yù)言家

當(dāng)你開(kāi)始狩獵時(shí)，AI可以幫助你對(duì)假設(shè)進(jìn)行壓力測(cè)試，或?qū)?zhàn)術(shù)映射到MITRE ATT&CK框架。Poley告訴我，AI如今最大的優(yōu)勢(shì)之一在于假設(shè)開(kāi)發(fā)和加速研究，它可以通過(guò)呈現(xiàn)資深分析師已認(rèn)可的相關(guān)行為或技術(shù)，為初級(jí)分析師提供助力，從而彌合技能差距。

同時(shí)，他警告說(shuō)，大型語(yǔ)言模型往往過(guò)于順從。為了讓AI保持誠(chéng)實(shí)，他采用分步方法——先列出已知信息，然后讓模型驗(yàn)證或挑戰(zhàn)這些信息。他說(shuō)，這種對(duì)話式風(fēng)格能帶來(lái)更好的見(jiàn)解，避免被誤導(dǎo)。

查詢、聚類(lèi)與上下文

一旦深入其中，AI可以提供查詢模板，并比滾動(dòng)搜索結(jié)果更快地指引你查閱文檔，這對(duì)初級(jí)分析師來(lái)說(shuō)確實(shí)節(jié)省了時(shí)間，但Poley也指出，AI在語(yǔ)法或優(yōu)化方面常常表現(xiàn)不佳。他不得不親自糾正AI生成的查詢，并反饋正確的語(yǔ)法，而AI卻只是輕描淡寫(xiě)地回應(yīng)“這說(shuō)得通”。

AI真正大放異彩的地方在于信息豐富化。威脅狩獵往往存在視野狹窄的風(fēng)險(xiǎn)——過(guò)分關(guān)注單個(gè)工件或路徑。AI可以幫助拓寬視野，將活動(dòng)與相鄰的威脅行為者技術(shù)聯(lián)系起來(lái)，或者揭示PowerShell中獵人可能忽略的別名。Poley將此描述為將小勝轉(zhuǎn)化為更完整狩獵的上下文信息。

數(shù)據(jù)決定命運(yùn)

這里有一個(gè)殘酷的事實(shí)：如果你的日志只保留30天或60天，AI只會(huì)放大這些數(shù)據(jù)缺口。英特爾471的另一位高級(jí)威脅狩獵分析師Lee Archinal解釋說(shuō)，保留期短的終端檢測(cè)與響應(yīng)(EDR)數(shù)據(jù)會(huì)使良性但罕見(jiàn)的行為(如每月打開(kāi)一次Word)看起來(lái)像異常。具有更長(zhǎng)歷史記錄的安全信息和事件管理(SIEM)系統(tǒng)更有幫助，但仍需要人工調(diào)整以區(qū)分真實(shí)威脅與統(tǒng)計(jì)噪聲。

Archinal強(qiáng)調(diào)，最好將AI視為一種簡(jiǎn)化任務(wù)的工具，而非人類(lèi)專(zhuān)業(yè)知識(shí)的替代品。你仍然需要一位分析師，他了解何時(shí)應(yīng)用信息豐富化、你的環(huán)境中哪些基線重要，以及如何區(qū)分用戶行為的怪癖與真正的安全威脅。

讓AI起草，讓人類(lèi)決定

沒(méi)人喜歡寫(xiě)報(bào)告。AI非常擅長(zhǎng)整理結(jié)構(gòu)化摘要，包括高管摘要和技術(shù)細(xì)節(jié)。如果處理得當(dāng)，這種一致性可以減輕利益相關(guān)者的認(rèn)知負(fù)擔(dān)，并加快向安全運(yùn)營(yíng)中心(SOC)、事件響應(yīng)(IR)和漏洞管理團(tuán)隊(duì)的交接速度。

這就是AI可以在不將組織置于風(fēng)險(xiǎn)之中的情況下，使威脅獵人更高效的地方。讓模型起草，然后讓人工編輯。

未來(lái)之路

展望未來(lái)，AI在回顧性分析和操作指南中的作用可能最具價(jià)值。用90天的日志數(shù)據(jù)對(duì)昨天的狩獵進(jìn)行復(fù)盤(pán)，以發(fā)現(xiàn)趨勢(shì)或測(cè)試假設(shè)，這種繁重的工作正是為AI量身定制的。隨著時(shí)間的推移，這些歷史數(shù)據(jù)甚至可以訓(xùn)練系統(tǒng)根據(jù)類(lèi)似案例中的有效方法提出“下一步行動(dòng)”。

但自動(dòng)化應(yīng)該反映人類(lèi)的決策，而非取代它們。Poley給我舉了一個(gè)生動(dòng)的例子：在事件中，禁用某個(gè)賬戶可能會(huì)阻止攻擊者——但如果時(shí)機(jī)不當(dāng)，也可能會(huì)破壞核心業(yè)務(wù)流程，這是一個(gè)沒(méi)有人類(lèi)監(jiān)督就不應(yīng)由AI做出的決定。

有何啟示?AI將在威脅狩獵中長(zhǎng)期存在，但它應(yīng)該處于循環(huán)之中——而非觸發(fā)行動(dòng)。利用它來(lái)擴(kuò)展信息豐富化、聚類(lèi)和報(bào)告功能。以TaHiTI等框架為支撐。最重要的是，將其視為“副駕駛”，而非“自動(dòng)駕駛儀”。

攻擊者也在嘗試使用AI，但防御者有機(jī)會(huì)更負(fù)責(zé)任、更有效地利用它。區(qū)別將在于我們對(duì)其局限性的理解程度，以及我們?cè)谧孉I保持受控狀態(tài)方面的自律性。