發展人工智慧(AI)應用已超過十年的Fortinet,基於TensorFlow框架發展機器學習與深度學習技術來設計、訓練、實施控管措施,以協助資安維運團隊(SecOps)應對日新月異的攻擊威脅。
隨著生成式AI(GenAI)快速地演進,Fortinet亦藉由整合OpenAI技術發展提供FortiAI(前稱為Fortinet Advisor),藉此縮短偵測與回應高風險事件須耗費的時間。
Fortinet資深技術顧問楊光明觀察,多數資安維運團隊正面臨的挑戰,首先是告警數量過多,需要時間來識別、優先排序、調查和矯正,恐讓目前人力短缺、技能落差等狀況更加雪上加霜。其次是愈來愈多攻擊手法利用合法憑證、設備或服務進行惡意操作的複雜攻擊,可成功地避開現行偵測措施。而且攻擊者很清楚企業端部署的控管方案缺乏協同工作,攻擊過程難以僅透過單一工具來察覺,結果往往是在資安事件爆發後才發現漏洞或弱點。
為了協助SecOps得以快速地掌握風險態勢,GenAI採用自然語言處理(NLP)方式的互動,有助於提高操作效率,並且藉由演算模型分析數量龐大的日誌與告警資料,可引導SecOps人員專注於處理高風險活動,避免爆發資安事件。
基於OpenAI打造FortiAI
過往資安領域中,AI與機器學習技術已廣泛應用於偵測各種手法的攻擊活動。如今大型語言模型(LLM)快速發展,ChatGPT等GenAI技術受到企業高度關注,為資安產業引進新的發展方向。Fortinet便採用了基於OpenAI發展的GenAI技術,打造FortiAI。
隨著各種不同的防禦技術不斷地產生大量的日誌、記錄和告警,想要判讀這些資訊的真正意義,往往必須具備深厚的資安技術領域知識才有能力解析。在這方面,AI助手的加入能夠有效輔助減少繁瑣的手工操作,並且能夠把資料相互關聯與分析,提出有意義的洞察與建議採取行動,提升企業的安全防護等級。
楊光明表示,FortiAI的核心能力在於其GenAI技術的整合,目前包括FortiSIEM、FortiSOAR、FortiAnalyzer等產品方案已經具備了FortiAI的功能。透過整合GenAI,IT與資安人員能夠利用自然語言處理技術來獲取日常維運相關資訊,可提高操作效率,亦可藉由GenAI增強資料的解讀能力。
他進一步說明,Fortinet與OpenAI合作並非僅為API的連接,實際上,Fortinet必須在後端投資建置相對應的軟硬體設施,以接入OpenAI服務。為了確保資料的有效性和精確度,Fortinet亦投入專業人力餵入高品質的大數據訓練與微調(Fine-tuning)模型,還包括持續性的資料維護和技術更新。畢竟如果企業用戶在使用這些產品時所得到的資訊不夠精確或者有效,則可能對資安構成威脅。因此,持續性的資料訓練和技術調整對於任何依賴AI和機器學習演算技術的資安產品來說,都是不可或缺的部分。
虛擬資安分析師輔助辨識惡意行徑
除了引進GenAI發展AI驅動的資安助理,Fortinet亦提出獨特的虛擬資安分析師(Virtual Security Analyst),已部署在FortiNDR(Fortinet Network Detection and Response)解決方案中提高偵測的準確度。
有別於傳統基於特徵碼資料庫(Signature Database)的威脅偵測,Fortinet虛擬資安分析師擁有自主研發的類神經網路(Artificial Neural Network,ANN)模型來分析網路流量中的內容。楊光明指出,傳統的威脅偵測多依賴特徵碼資料庫,這種方法雖然在偵測已知威脅上效果顯著,但對於零時差攻擊或未知型病毒的防護卻常常力不從心。特徵碼資料庫主要識別已知的惡意程式、病毒或其他威脅,其依賴於已有的資料來進行比對分析。
相對地,類神經網路提供了一種更為先進和彈性的偵測方式。透過模擬人腦的學習和思考過程,ANN能夠分析並識別網路流量中的異常行為,即使是前所未見的攻擊模式也能被有效識別。這種技術不僅增強了對未知威脅的反應能力,也提升了整體的網路安全防護效率。
Fortinet透過旗下FortiGuard Lab雲端平台收集全球的威脅情資,進而發展和完善ANN模型。這種基於雲端的分析模型使得Fortinet能夠對網路流量進行更深入的分析,識別出潛在的惡意行為,並將這些技術應用於FortiNDR產品中,讓企業在地端環境中部署,避免攻擊者運用複雜的手法來繞過偵測機制。 「導入FortiNDR解決方案等同於聘請了一名專業的資安分析師,這名分析師不僅具備高度專業知識,還能夠即時分析和判讀資料,藉此有助於減少對人工資安專家的依賴,以及加快對於惡意行為的反應速度,以保障安全性。」楊光明說。
全面引進演算模型持續監控維運
前述提到的FortiNDR,是Fortinet於2023年首度正式推出的解決方案,重點在於強化企業對網路威脅的防護與應對能力。楊光明指出,以往企業大多依賴端點偵測與回應(EDR)來應對威脅,近年來對於網路偵測與回應(NDR)的需求日益增加,以完善XDR框架建構防護體系。
Fortinet資深技術顧問楊光明認為,各種不同防禦技術皆可產生日誌、記錄、告警,但這些資料究竟代表何種意義,IT或資安人員未必都可掌握。在資安產品中增添AI助手,可輔助分析與判讀資料背後的意義。
從Fortinet角度來看,解決方案發展主軸聚焦於AI驅動的資安維運。Fortinet的產品線相當廣泛,能夠滿足不同產業對於資安解決方案的應用需求,例如次世代防火牆、智慧型沙箱、NDR等,都能夠透過演算模型運行分析來強化對未知型攻擊與潛在威脅的偵測。
除了網路層面,端點安全也是Fortinet發展AI與機器學習應用的重點領域。傳統的端點安全解決方案以防毒引擎為核心,而現今逐漸轉向利用機器學習演算模型來增強對未知攻擊的偵測能力,藉此可有效地防範零時差攻擊。
此外,從端點到應用伺服器,各種類型系統運行時皆會產生日誌與記錄檔。透過AI與機器學習技術自動運行分析,可從中識別出潛在的惡意行為或維運問題,大幅提高處理速度和準確性。楊光明說明,演算模型可為每個設備建立一個專屬的維運基準線,並根據這些基準線來監控實際運行狀況。當某一設備的資源使用量異常(無論是過高或過低)時,系統會自動發出告警,這樣的方式比傳統的單一閾值設定更加精確。此外,亦可根據過去的資料學習即時調整閾值,以適應不同設備的使用習慣和運行條件,能夠有效預防運行瓶頸或中斷事故的發生。