商傳媒|何映辰/台北報導
隨著網路威脅日益複雜,企業對於有效威脅偵測與防禦的需求也隨之升高。為了改善資安營運中心(SOC)的效率與精準度,人工智慧(AI)技術正逐步導入資安防禦體系。資安業者Swimlane宣布,旗下Hero AI代理將MITRE ATT&CK與D3FEND框架整合,以自動化方式提升威脅偵測與防禦評估的能力。
現行許多資安團隊已採用MITRE ATT&CK框架,作為理解攻擊者戰術與技術的共通語言。然而,ATT&CK框架主要描述攻擊者的行為模式,並未直接指出企業既有的防禦工具是否能有效應對。這導致資安人員在面臨警報時,仍需耗費大量時間手動比對攻擊技術與內部防禦措施,進而影響應變速度。
針對此挑戰,Swimlane推出的Hero AI MITRE ATT&CK & D3FEND代理,能即時將資安警報與ATT&CK的攻擊技術以及D3FEND的防禦對策進行對應。該代理的功能在於快速評估企業已部署的資安工具,針對特定威脅的防禦涵蓋範圍,進而協助資安團隊辨識並填補防禦缺口。例如,當偵測到員工點擊惡意電子郵件連結的警報時,該AI代理會自動將其對應至ATT&CK的「T1566.002(魚叉式網路釣魚連結)」技術,若後續執行了惡意酬載,則會進一步延伸至「T1059.001(PowerShell)」等相關技術。
在防禦層面,該AI代理會根據已識別的攻擊技術,揭示相關的D3FEND防禦技術,例如針對電子郵件的「訊息分析」、利用威脅情資的「URL信譽分析」、以及「寄件者信譽分析」與「同形異義字偵測」。在隔離措施方面,可建議「電子郵件過濾」與「DNS黑名單」,並強化「訊息驗證」(如SPF、DKIM、DMARC)與「多因素驗證」等。
該代理的關鍵優勢在於,它不僅指出攻擊技術,更進一步分析企業現有的防禦工具(如Proofpoint、Mimecast、Cisco Umbrella、CrowdStrike Falcon等)如何對應這些D3FEND防禦對策。資安長(CISO)因此能以具體的防禦涵蓋範圍,向管理層展示資安投資的實際效益,而非僅憑抽象的威脅敘述。
Swimlane認為,未來的資安營運中心應由「專業AI代理艦隊」而非單一大型AI模型來推動。這種「各司其職」的架構,能讓每個代理專注於特定的分析師工作流程,例如情資豐富化、重複資料刪除、脈絡收集、假設建立、建議提出與結案判斷。透過逐步驗證每個代理的效能,資安團隊能建立信任,並讓AI在特定任務上實現自主運作。
Swimlane自身的資安營運中心導入Hero AI代理後,平均回應時間(MTTR)從自動化後的30分鐘,進一步縮短了51%,降至9分鐘以內。這相當於每週節省約60小時的分析師工作時間,並自主處理約350個案例。獨立研究機構TAG Cyber的分析也指出,採用Turbine平台的企業,第一年即可實現240%的投資報酬率,並強調其專屬大型語言模型(LLM)架構、資料不離開環境及不依賴第三方模型等特色,對於注重治理的團隊而言是關鍵優勢。
對於剛開始導入AI的資安團隊,Swimlane建議可從利用過往案例紀錄與分析師筆記著手,即使缺乏知識庫文章或操作手冊,AI也能協助從舊案例中生成相關知識。隨著AI代理艦隊持續擴展,並支援團隊自行建構專用代理,這項技術將有助於資安分析師擺脫重複性高的工作,將精力投入更具策略性的任務。
