基于身份的攻擊呈上升趨勢,網絡釣魚仍然是最常見的和第二昂貴的攻擊向量。一些攻擊者正在使用 AI 制作更令人信服的網絡釣魚消息,并部署機器人來繞過旨在發現可疑行為的自動防御。
與此同時,企業應用程序的持續增長給 IT 團隊帶來了挑戰,他們必須支持、保護和管理這些應用程序,而且通常不會增加人員。
連接設備的數量不斷增加,由于攻擊面的增加帶來了安全風險。每個設備相關的潛在漏洞使這一問題更加復雜。
雖然有許多安全工具和應用程序可用于幫助企業抵御攻擊,但集成和管理大量工具會增加成本、復雜性和風險。
網絡安全是 三大挑戰 之一,僅次于環境可持續發展和技術現代化。生成式 AI 可以為網絡安全帶來變革。它可以幫助安全分析師更快地找到完成工作所需的信息,生成合成數據以訓練 AI 模型以準確識別風險,并運行假設場景以更好地應對潛在威脅。
利用 AI 與日俱增的威脅形勢保持同步
網絡安全是一個數據問題,而可用的海量數據對于手動篩選和威脅檢測來說過于龐大。這意味著人類分析人員無法再有效地抵御復雜的攻擊,因為攻擊和防御的速度和復雜性超過了人類的能力。借助 AI,組織可以實現數據的 100%可見性,并快速發現異常情況,從而更快地檢測威脅。
雖然呈指數級增長的數據量給威脅檢測帶來了挑戰,但基于 AI 的網絡防御方法需要訪問訓練數據。在某些情況下,這并不容易實現,因為組織通常不會共享敏感數據。借助生成式 AI,合成數據可以幫助解決數據差距并改善 AI 網絡安全防御。
合成和上下文化數據的最有效方法之一是使用自然語言。大型語言模型 (LLM) 的進步正在擴展威脅檢測和數據生成技術,從而改善網絡安全。
本文將探討三個用例,說明生成式 AI 和 LLM 如何改善網絡安全,并提供三個示例,說明如何應用用于網絡安全的 AI 基礎模型。
Copilot 可提升安全團隊的效率和能力
網絡安全專業人員的人員短缺問題持續存在。檢索增強生成 (RAG) 使組織能夠利用現有知識庫并擴展人類分析師的能力,從而提高他們的效率和效力。
Copilot 可以在自然的界面中學習安全分析師的行為,適應他們的需求,并提供相關見解來指導他們的日常工作。組織可以快速發現 RAG 聊天機器人的價值。
預計到 2025 年,三分之二的企業將結合使用生成式 AI 和 RAG 技術,為特定領域的自助式知識發現提供支持,從而將決策效率提升 50%1。
除了沒有足夠的網絡安全人員外,組織還面臨著培訓新員工和現有員工的挑戰。借助 Copilot,網絡安全專業人員可以在復雜的部署場景中獲得近乎實時的響應和指導,而無需額外的培訓或研究。
雖然安全副駕駛可以為組織帶來變革性優勢,但它們只有在能夠提供快速、準確和最新的信息時才有用。NVIDIA 采用檢索增強型生成工作流程的 AI 聊天機器人 提供了一個很好的起點。它展示了如何構建代理和聊天機器人,以實時檢索最新信息,并以自然語言提供準確的響應。
生成式 AI 可以顯著改善常見漏洞防御
隨著系統中報告的安全漏洞數量不斷增加,修補軟件安全問題正變得越來越具有挑戰性。常見漏洞和暴露 (CVE) 數據庫 在 2022 年創下新高。截至 2023 年第三季度,報告的累計漏洞超過 20 萬個,這明顯表明傳統的掃描和修補方法已變得難以管理。
與僅依賴 CVE 評分來確定漏洞優先級的組織相比,部署基于風險的分析的組織所面臨的泄露成本更低。使用生成式 AI 可以改善漏洞防御,同時減輕安全團隊的負擔。
在集成了 LLM 引擎之后,NVIDIA 利用 NVIDIA Morpheus 構建了一個工作流程,該工作流程通過 RAG 處理 CVE 風險分析。安全分析人員可以借助 LLM 和 RAG 來確定軟件容器內是否包含有漏洞和可被利用的組件。
此方法使分析師能夠平均將單個 CVE 的調查速度提高 4 倍,并以高準確度識別漏洞,以便對補丁程序進行優先級排序并相應地加以處理。
網絡安全基礎模型
雖然預訓練模型對許多應用程序都很有用,但有時從頭開始訓練自定義模型會很有幫助。當特定領域具有獨特的詞匯量或內容具有不符合傳統語言范式和結構的屬性時,這很有幫助。
在網絡安全領域,我們可以通過某些類型的原始日志來觀察這一點。想想一本書,單詞如何構成句子、句子如何構成段落和段落。語言模型中有一個固有結構。這與 JSON 行或 CEF 等格式中包含的數據形成對比。數據鍵和值的臨近具有不同的含義。
使用自定義基礎模型提供了多種機會。
- 解決數據缺口:雖然更好地利用涌入的數據可以改善網絡安全,但數據的質量至關重要。如果缺乏高質量的可用訓練數據,檢測威脅的準確性就會受到影響。生成式 AI 可以通過合成數據生成來幫助彌補數據缺口,或者通過使用大型模型生成的數據來訓練較小的模型。
- 執行“假設”場景:在缺乏用于構建防御系統的數據集的情況下,對抗新威脅的能力將顯著提高。生成式 AI 可用于模擬攻擊,并執行“假設”場景,以測試尚未遇到的攻擊模式。這種基于不斷演變的威脅和變化的數據模式的動態模型訓練,有助于提升整體安全性。
- 輸入下游異常檢測器:使用大型模型生成數據,訓練用于威脅檢測的下游輕量級模型,既可以降低基礎設施成本,又能保持相同的準確性水平。
NVIDIA 進行了許多實驗,并訓練了幾個特定于網絡安全的基礎模型,包括一個基于 GPT-2 風格模型(稱為 CyberGPT)的模型。其中一個是基于身份數據訓練的模型(包括 Azure AD 等應用程序日志)。借助此模型,人們可以生成高度逼真的合成數據,以解決數據差距,并可以執行“假設”場景。
圖 2 顯示了各種大小的 CyberGPT 模型的 Rogue2 F1 分數,每個實例的準確率約為 80%.這意味著生成的 10 個日志中,有 8 個與真實網絡用戶生成的日志幾乎沒有區別。
至于訓練時間,超級計算機并不是實現高質量結果的必要條件。在測試中,對于具有字符級標記化的 GPT-2 小型模型,訓練時間低至 12 GPU 小時。此模型在 230 萬行 100 多個用戶日志上進行訓練,并進行 1000 次迭代。此模型基于多種類型的數據進行訓練,包括 Azure、SharePoint、Confluence 和 Jira.
此外,我們還使用分詞器(主要是字符級分詞器)、現成的字節對編碼 (BPE) 分詞器和自定義訓練的分詞器運行實驗。雖然每種分詞器都有優點和缺點,但通過訓練自定義分詞器可以獲得更好的性能。這不僅可以根據自定義詞匯更有效地利用資源,而且可以減少分詞錯誤,并可以處理特定于日志的語法。
雖然這些結果反映了使用語言模型進行的實驗,但使用 LLM 進行的相同測試也取得了類似的結果。
合成數據生成可 100% 檢測魚叉式網絡釣魚電子郵件
Spear 網絡釣魚電子郵件具有高度針對性,因此非常令人信服。Spear 網絡釣魚(通常情況下,任何有效的網絡釣魚活動)與良性電子郵件之間的唯一真正區別是發送者的意圖。由于缺乏可用的訓練數據,因此使用 AI 進行防御的 Spear 網絡釣魚具有挑戰性。
為了探索合成數據生成在增強釣魚槍電子郵件檢測方面的潛力,我們使用 NVIDIA Morpheus 構建了一個工作流。
使用現成模型時,Spon 網絡釣魚檢測管線漏掉了 16%(約 600 封)的惡意電子郵件。然后,未捕獲的惡意電子郵件被用于創建新的合成數據集。從合成生成的電子郵件中學習新的意圖模型,并將其集成到我們的 Spon 網絡釣魚檢測管線中。在檢測管線中添加這項新的意圖模型功能后,僅在合成電子郵件上訓練的 Spon 網絡釣魚電子郵件的檢測率達到 100%.
我們的 NVIDIA 網絡釣魚檢測 AI 工作流程提供了一個示例,展示如何使用 NVIDIA Morpheus 構建此解決方案。
全面的企業安全策略
我們的NVIDIA AI 平臺具有獨特的優勢,能夠幫助解決多層次的安全挑戰。它在硬件基礎設施層面提供全面保護,從數據中心的外圍到每臺服務器的邊緣,并提供了使用 AI 保護數據的工具。
了解詳情
觀看 NVIDIA 網絡安全工程主管 Bartley Richardson 的會議,了解本博文中所演示的用例。學習如何將語言模型與網絡安全集成在NVIDIA LLM 開發者日。
瀏覽 2023 年 11 月發布的 NVIDIA Morpheus,了解新的 LLM 引擎集成功能,并開始利用加速 AI 實現網絡安全。
了解 NVIDIA NeMo 如何提供一種簡便的方式來開始構建、自定義和部署生成式 AI 模型。
NVIDIA AI Enterprise 是為 NVIDIA AI 平臺提供支持的企業級軟件,其中包含了 NVIDIA Morpheus 和 NeMo。
- IDC FutureScape:全球人工智能和自動化 2024 年預測,#AP50341323,2023 年 10 月??
?
