生成式AI崛起，是強化資安的大好機會

這些年網路威脅加劇，資安人力卻總是補不滿，如何翻轉攻防不對稱的局勢是資安發展重心，而AI應用正是大家期待已久的技術。

回顧2023年生成式AI應用成形與爆發，資安界憂心攻擊者的技術門檻大幅降低，能發動更大規模且複雜的攻擊。但水能覆舟，亦能載舟，生成式AI同樣有助於資安，催生出新的防護作法。

儘管通用生成式AI問題持續受探討，AI監理規範也正持續發展，像是建立AI風險驗測方法，評估AI生命週期的資訊與資料安全需求，以及2023年下半的種種指引與立法，雖然確保生成式AI安全很重要，不過，鎖定領域專屬的局部應用，已是重要發展方向。

基本上，資安業者採用AI/ML提升本身產品與服務的能力，並非新鮮事，甚至不少廠商強調，資安解決方案要以AI為中樞，在GPT-4、PaLM 2、Llama 2等多個大型語言模型（LLM）引領之下，不僅帶動生成式AI興起，也再次掀起AI資安浪潮。

因此，這一年來生成式AI的應用，不僅微軟與Google一舉一動受熱烈關注，許多資安大廠態度也很積極，令人驚喜的是，臺灣多家資安業者也不落人後。

在2024年可以預見的是，對資安領域而言，生成式AI可望帶來完全不同的新面貌，也有資安專家盼望這能成為資安人員的救星，幫助縮短攻防不對稱的嚴峻態勢。

因此不論企業規模大小，勢必都要了解當前的生成式AI發展概況，才能更好設想未來如何提升資安防護。

微軟敲響AI資安助手第一鐘，大量推出的新應用都與生成式AI有關

早在2014年，我們就看到美國一家名為Tanium的新創公司，發展資安軟體結合自然語言，使用者透過口語化文字輸入提問，就能盤查企業電腦網路。到了2016年，對話機器人（Chatbot）開始步入主流，但當時仍處於自然語言理解階段，還需改進對話管理與自然語言生成；在2018年，GPT-1誕生，促成新一波AI應用。

到了2023年，基於LLM的生成式AI技術不僅爆紅，其資安領域上的應用潛力，也有目共睹。

首先，3月29日微軟發表整合GPT-4大型語言模型的Security Copilot，目標是協助資安人員工作，相隔一個月之後，Google發布整合自家Sec-PaLM大型語言模型的Security AI Workbench平臺。

這些產品新功能的預告，意味著新時代來臨──將生成式AI技術整合至各種資安產品和服務。

接下來幾個月，這兩家大廠宣布將生成式AI的技術，擴大至眾多產品線。以雲端服務為例，像是Microsoft 365 Copilot、Duet AI for Google Workspace等，而這些輔助生產力工具的AI助理，吸引許多用戶目光。在端點裝置，例如個人電腦與手機，微軟針對Windows系統，預計提供Copilot in Windows輔助功能，最新Google Pixel手機的相片魔術橡皮擦、提高解析度功能，背後也是導入了生成式AI。

更重要的是，還有各式資安產品，也都將擁抱這股新浪潮，包括微軟的Microsoft Defender XDR、Sentinel、Intune、Purview、Entra、Defender for Cloud，以及Google的Chronicle等。

資安結合生成式AI，微軟帶頭掀起風潮
微軟2023年3月29日預告，將推出全新Security Copilot，掀起資安領域結合生成式AI的旋風，他們指出該應用將成為資安人員的AI助手，後續並公布Security Copilot的運作架構，說明資安人只要送出指示（prompt）、接收答覆，背後運作全由這個AI助手負責，而且，旗下多項資安產品都將支援Security Copilot。圖片來源／微軟

微軟將生成式AI整合至旗下資安產品
根據微軟Microsoft Defender XDR初步試用計畫資料，可看出Security Copilot嵌在網頁介面右側，幫助快速總結事件，分析腳本與程式碼，提供建議行動，以及撰寫報告。圖片來源／微軟

微軟、Google兩家雲端巨擘率先引領風潮

究竟生成式AI的出現，會讓各類資安產品帶來哪些改變？

以微軟為例，在2023年11月公布的Microsoft Defender XDR預覽版當中，企業將可藉助嵌入的Security Copilot功能，達到多項應用效益，例如：不需撰寫複雜的查詢指令，可節省時間並減少發生錯誤的機率，可幫助快速摘要事件、分析腳本與程式碼，能提供引導式回應機制，幫助操作人員對事件採取動作，同時，還能用自然語言產生Kusto查詢語言（KQL），以及能夠讓撰寫事件報告變得更有效率。

而且，幾日後微軟表示，將Microsoft Defender XDR/Sentinel，以及Security Copilot，整合至同一管理平臺。

Google在12月也宣布Duet AI in Security Operations正式上線，這是適用於資安維運的生成式AI助理，供所有Chronicle用戶使用，可簡化威脅偵測並給予回應，協助歸納與分類威脅資訊，將自然語言輸入轉換為查詢指令並執行複雜分析，提供案例資料與警報的自動摘要，以及提供後續步驟建議，以改善事件回應時間等。

同時Google還預告，未來幾週，所有的Duet AI服務，都將包含新的多模態模型Gemini，這也顯示出，近年生成式AI能力，其實是會快速地提升與進步。

多家資安業者同樣擁抱生成式AI，臺廠也趕上這股熱潮

不只是微軟與Google，事實上，短短幾個月之內，有多家資安廠商紛紛跟上這股風潮，顯然都是看重生成式AI在資安應用的潛力與優勢。

如微軟一發表Security Copilot之後，網路威脅情報業者Recorded Future的動作很迅速，在2023年4月11日宣布，在自家威脅情資（CTI）平臺整合OpenAI GPT，強調可幫助企業整理龐大資料，並緩解網路安全技能短缺的情形。

接著，是資安風險管理業者Security Scorecard，他們在4月25日宣布，其服務將整合OpenAI的GPT-4，可用自然語言回答網路風險問題，像是：找出評分最低的10家供應商，顯示過去一年有哪些重要供應商遭入侵等，讓用戶在風險管理決策上可以更有效率，並可針對需要優先處理的網路安全風險，提出緩解的建議。

資安業者SentinelOne也跟進，在4月26日公布整合生成式AI的Purple AI，強調對話式AI可以讓威脅獵捕變得容易，讓威脅分析變得簡單，當中說明了Purple AI的應用特性。例如，當分析人員想要搜尋特定威脅時，可以使用環境是否感染SmoothOpreator的語句，而不需建立以入侵指標（IoC）形式的手動查詢，在此同時，指出Purple AI對資料蒐集與網路安全領域的理解，使它能夠快速確定事件鏈，並向分析師總結出潛在的複雜威脅情況。

特別的是，臺灣有資安業者更快發展生成式AI，並且早於上述公司。例如，前幾年參與MITRE ATT&CK評估計畫、受國際關注的奧義智慧，於微軟Security Copilot發表後，在4月6日這天，該公司就宣布將推出「XCockpit」自動化資安威脅管理平臺，並會導入AI虛擬分析助手於其中。

該平臺不僅整合既有EDR與鑑識調查的產品，日後還將增加AD安全與ASM的功能模組，更關鍵的是，他們強調，該平臺是依循AI-Assistant-as-a-Service概念而打造，可建構AI自動化的事件應變流程，協助第一線SOC資安人員及資安團隊，讓事件處理精準度與速度大幅提升。而這個XCockpit平臺，已在2023年7月上線。

趨勢科技對話式AI資安助手11月正式上線

2023年底，也就是最近一個多月以來，有更多資安大廠發布了相關消息，我們看到趨勢科技、思科、Fortinet都有應用生成式AI的進展。這也意味，其實還有更多廠商已經在進行，並且陸續對外發表，此一新技術的應用漸成主流。

尤其是臺灣出身發展到全球知名的趨勢科技，先是在2023年6月發表生成式AI資安助手Companion，7月提供部分客戶使用，並在11月27日正式推出Trend Companion，開放所有客戶使用。

因此，以正式推出時間來看，這個能以自然語言聊天的Trend Companion，甚至領先於更早預告的Google與微軟。

基本上，趨勢科技這項功能整合於自家Trend Vision One整合式資安平臺，可透過自然語言的聊天介面提供服務，該助手不僅提供事件摘要與全面分析報告，還能解釋攻擊警報，關聯攻擊戰術與技巧，並清晰展示影響範圍。它還能將簡單語言轉換成正式的查詢語法，提高事件查詢的精準度。

值得注意的是，他們還提到令我們印象深刻的應用情境，那就是：幫助識別利用合法工具的寄生攻擊（LotL），例如，能解析一段PowerShell腳本的目的與運作，並產生人員能夠容易理解的解釋內容。

趨勢科技AI助手在2023年底正式上線
趨勢科技打造的Trend Vision One平臺AI資安助手Trend Companion，2023年6月發表，在11月27日正式推出。根據他們展示的介面，這個AI助手不僅能夠提供事件摘要與分析報告，也可幫助快速分析攻擊腳本，並將結果以口語方式說明，讓資安人員與團隊更快了解威脅。圖片來源／趨勢科技

另一家網路與資安大廠思科，也有這方面的功能進展，我們在12月6日參加他們的墨爾本亞太區年度用戶大會時，看到他們現場發表全新AI助手Cisco AI Assistant，而且首先強調的應用場景是在防火牆規則管理，包括：可用自然語言簡化相關查詢與操作，並能主動提供規則分析，以及改進的建議，像是清除重複或多餘的規則，藉此強化企業防火牆管理，以降低防火牆規則因設定複雜可能帶來的安全風險與挑戰。

當時，我們看到這方面的實機展示，在Cisco Defense Orchestrator雲端管理介面上，用戶可以叫出AI Assistant Beta版來對話，另外在Cisco防火牆管理中心介面上，也同樣能有此應用。思科表示，這個AI助理之後也將擴及該公司旗下各產品線。

還有一家資安業者Fortinet，12月15日也宣布推出生成式AI助理，他們將此功能命名為Fortinet Advisor，並表示已在FortiSIEM、FortiSOAR產品開放公開預覽版、供用戶使用，其特色包含：可幫助解析資安威脅告警事件，提供事件分析摘要，當中將包含情境說明，以及潛在影響解釋的內容，並且提供緩解措施指南與回應Playbook的範本，並可用自然語言輸入提問，就能向Fortinet Advisor諮詢資安建議。

值得我們注意的是，綜觀Advisor這一命名，其實也意味著，生成式AI不只是化身助手，也可視為一個虛擬諮詢顧問般的存在。未來這項功能應用也將擴大，預計擴展至40多個AI驅動的解決方案。

思科展示用AI助理簡化網路防火牆規則管理
2023年12月6日思科揭露AI助手功能，在思科Cisco Defense Orchestrator管理介面，將可叫出Cisco AI Assistant Beta的功能，以自然語言聊天方式，查詢防火牆政策，詢問如何建立防火牆資安政策，並快速獲得規則建議。攝影／羅正漢

已有研究顯示，資安研究人員正積極使用生成式AI

除了上述資安業者的動向，對於資安研究人員而言，在他們目前的工作領域，也呈現積極應用生成式AI的情況。

漏洞懸賞平臺HackerOne於2023年10月，公布《駭客驅動安全報告（Hacker-Powered Security Report）》，調查結果特別列出幾個必須重視的態勢。他們發現有6成資安研究人員，正利用生成式AI（GenAI）來開發各種駭客工具，以用來發現更多的漏洞，也有66％的研究人員表示，正在或準備利用生成式AI來撰寫報告。

無論如何，用AI幫助資安早已是大勢所趨，生成式AI技術更是最新的利器。儘管現在只是這項技術爆發的第一年，還有很多進步空間與創新擴展，但我們可以預期的是，生成式AI資安的潛力相當被看重，尤其是能夠快速處理大量資料的能力，以及用自然語言進行交流的能力。

整體而言，隨著2024年的到來，企業可能要意識到，當生成式AI逐漸融入資安產品，預料將成為資安團隊未來的一份子，甚至期盼是企業資安的神隊友，但AI也將會讓那些沒有道德底線的攻擊者，發展更多自動化攻擊的武器，並且會讓社交工程問題加劇，這些新挑戰，我們同樣需要積極因應，因為，新的AI時代已經來臨。

 相關報導