安全+大模型应用系列之RSAC的Dropzone AI的分析

news2024/11/17 12:57:49

RSAC的AI元素

2024 RSAC上展示的半数以上的产品都加持了AI技术,从代码检测、数据分级分类、威胁检测、行为分析等检测技术到威胁告警分析研判和自动化处置都体现了AI+的融入。

  • 以SIEM产品为例,Elastic演示了可以集成任何第三方的威胁分析大模型,一次最多可以分析100个告警。
  • CrowdStrike则提出了新一代SOC是AI内生的SOC,包括通过AI第三方介入、AI正则化、AI数据丰富、AI流程自动化以及建立自己的大大语言模型(LLM)用于提升安全运行效率。

在RSAC创新沙盒比赛中,生成AI驱动安全运营自动化的初创企业Dropzone AI成功跻身10强。

        根据公开信息,通过将自主 AI 分析师无缝集成到安全工作流程中,Dropzone AI 将会改变安全运营的方式,能在不增加人员的情况下以 10 倍以上效率开展运营。Dropzone AI虽与冠军擦肩而过,但其通过部署预先训练的自主 AI 分析师来提升安全运营效率的思路,受到业界认可。该公司在 A 轮融资中筹集了 1685 万美元。

公司介绍与定位:

        Dropzone AI is the first AI SOC analyst that autonomously investigates alerts 24/7. It integrates with existing tools, adapts to your environment, and generates decision-ready reports. You can focus on real threats and 10X your team without adding headcount. No playbooks, code, or prompts required.

        Dropzone AI 是第一个 24/7 自主调查警报的 AI SOC 分析师。它与现有工具集成,适应您的环境并生成可供决策的报告。 您可以专注于真正的威胁,并且无需增加员工人数即可将团队规模扩大 10 倍。 无需剧本、代码或提示。

团队组成:

目前团队规模不足10人(官网上7人);Invertor当中,有2位都是中国人;

融资情况:

        2023年8月、人工智能自主警报调查平台Dropzone AI获350万美元种子轮融资;面向安全运营团队的自主警报调查平台Dropzone AI获得了350万美元的种子轮融资。本轮融资由Decibel Partners领投,Pioneer Square Ventures Fund、Oliver Friedrichs、Jon Oberheide以及Jesse Rothstein等天使投资人参投。

        2024年4月25日,总部位于美国西雅图的AI安全分析初创公司 Dropzone Ale 宣布筹集了1685万美元的A轮融资。本轮融资出Theory Ventures领投,Decibel Partners、Pioneer Square Ventures和In-Q-Tel (1QT)等现有投资者和多位天使投资人也参与了投资。该公司计划将筹集的资金用于继续扩大其市场推广和工程团队;

产品的理念与价值:

        当前只有一个产品,定位The World’s First AI SOC Analyst,主要讲述了一个安全专家(安全分析师)即人的价值;该理念深信服922发布会的自动化值守的价值基本上一致;同时对专家分析师的等级进行了分层,Tier-1、Tier-2、Tier-3;

该AI场景也推出了二种类型的功能模块,智能化的告警研判调查(智能运营)与对话框chatbot(辅助运营)

其产品的主要竞争力有以下几点:

        在产品简介中,其提出了一个很重要的观点:因为安全运营中人工的效率和精力都有限,因此往往只能对大部分告警做tier-1级的分析,即初步筛选、优先级评定等等初步操作。发现高危之后才能对有限的告警进行深入调查。

        但自动化安全运营后,提高了效率,可对大量告警进行tier-2或者tier-3级别的深入分析,从而更清晰的理解告警,发现真实攻击。

        过程中也提到会针对每一个安全告警,都给出一份完整的调查报告;人工完成这个报告需要4-10分钟左右,整个过程如果由GPT完成速度会大幅度提升;每个安全告警的调查报告;

        过程中也阐述了攻击者的背景、随着攻击者不断采用新技术,网络防御者正在输掉这场战争。只有使用Al才能守军夺回高地。

        也提出了一个概念,认为只有只有不到 10% 的告警需要进行深度的关联。这个是普遍的共识、并不是全量的告警都需要走大模型的调查和解读;

 官网上提到了认为当前的SOC平台面临着两个复杂的挑战:

1.来自更多工具的源源不断的警报 ---海量告警

2.分析各个系统中分散的数据的繁琐工作 --多源数据的关联分析

产品功能模块:

全量告警分析研判与调查报告:

全量告警的分析与调查报告的支持,从产品的设计页面来看,整体思路基本一致。融合的比较多开源的情报工具平台和私域的数据的分析;

开源的平台情报平台主要用了Virustotal、本地的数据检索(Splunk),过程对一些维度进行分析,并能够给出对应的数据的出处,并给出对应的举证内容(findings)

最后会结合多个findings给出针对单个告警的Conclusion,如下图所示一个有效攻击(Confirmed Malicious);

从界面设计来看,用户也可以进行Accept 或者modify Conclusion,是支持用户进行结论的调整。同时有对应的对话框,支持用户针对以上内容进行追问或者argue

从技术方案的角度来看来看,主要是三个维度;检索、理解、生成;即RAG+COT的生成

多源数据的深度关联分析:

从给出的数据来看,目前支持50+多种不用类型的数据源,包含了主流的SIEM, EDR, Firewall, CSP并能够做到自动化的收集;

        从给出的案例来看,该AI Agent的能力的确可以从内网各个数据平台里面自动化去检索数据;过程中应该是需要给该产品的权限和登录口令单独进行处理才对,在调查和举证的地方,可以将数据的来源进行说明。比如下列的案例当中的数据设计到Splunl、终端日志EDR日志、PA防火墙日志、Tshark网络日志的关联分析。

对话式的辅助运营调查场景(Chatbot):

本地数据的打通做检索统计、主要是告警、资产、事件、日志常规的问题的分析统计;

模型训练:

        文档介绍中只提到了经过一定程度的预训练(pre-training),未公布其他相关信息;猜测大概率是使用了GPT4或者GPT3.5

用户价值和客群:

        和国内主要的运营大模型主讲的价值差不多、聚焦真实入侵行为,提高安全运营效果和时效性;

        针对的客群,除了有自建自用的客户外,也聚焦了MSSPs的平台的用户,类似当前深信服目前安全GPT在MSS的应用;

几个灵魂拷问的回答:

Does Dropzone AI replace SOC Analysts? (替换人的问题)

No. We designed Dropzone to work alongside security analysts and handle the front-line work of manual and repetitive work of alert investigation for them, so analysts can focus their time and talent on the real threats and proactive and strategic projects. We believe AI augmentation will increase the number and job satisfaction of security practitioners and, more importantly, take a step toward curbing the ever-growing cyber attacks

不会。我们设计 Dropzone 的目的是与安全分析师一起工作,为他们处理一线的手动工作和警报调查的重复性工作,以便分析师可以将时间和才能集中在真正的威胁和主动战略项目上。 我们相信人工智能增强将增加安全从业人员的数量和工作满意度,更重要的是,朝着遏制日益增长的网络攻击迈出一步;

How do I know it doesn't hallucinate in its conclusions and analysis? (幻觉问题)

Our system was engineered with a specific focus on guardrails, explainability, and data lineage. For example, every alert conclusion is accompanied by a complete report of crucial factors, along with a chain of raw evidence and sources, so human analysts can quickly validate the AI's logical reasoning at a click of a button.

我们的系统在设计时特别关注护栏、可解释性和数据沿袭。 例如,每个警报结论都附有关键因素的完整报告,以及一系列原始证据和来源,因此人类分析师只需单击按钮即可快速验证人工智能的逻辑推理。

How is using Dropzone AI different from using ChatGPT?(与其他大模型的区别)

Dropzone AI provides pre-trained autonomous agents specialized in security operations. Dropzone connects to all your existing cybersecurity tooling and data sources. And it is highly autonomous, capable of performing end-to-end alert investigations with no human input or prior playbook. In comparison, ChatGPT is a general-purpose chatbot (focusing on simple Q&A) with no ability to connect to your security stack and no security operation expertise.

Dropzone AI 提供经过预先训练的专门从事安全操作的自主代理。 Dropzone 连接到您所有现有的网络安全工具和数据源。 它具有高度自主性,能够执行端到端的警报调查,无需人工输入或事先的操作手册。 相比之下,ChatGPT 是一种通用聊天机器人(专注于简单的问答),无法连接到您的安全堆栈,也没有安全操作专业知识。

总结:

Dropzone AI 的产品特点包括:

  • 全自动化研判 系统可以自动调用工具对告警进行多角度分析,并生成总结和结论。
  • 高度灵活性和环境适应性 产品可以轻松适应当前的安全运营环境,无需改动现有基础设施。
  • 人机交互模式 通过自然语言交互界面,系统能够理解自然语言,获取和返回数据,提供类似chatgpt的用户体验。
  • 提升人与人交互效率 系统能自动生成需要的询问邮件,简化交流流程,加速问题解决速度。

从Dropzone AI广泛的认可度来看,国外对该思路的认可度较好,前期在国内项目验证的时候客户也非常感兴趣。但是目前国内的安全产品、安全平台较为封闭、无法像国外产品能够广泛直接对接、或许是当前制约国内的安全GPT广泛推广的一个阻碍

安全+大模型的产品的逐渐按照多能力的安全专家(全能)的能力和价值去规划、应该是一个受客户认可的正确方向。

Dropzone AI 的技术应用应该不仅限于传统的安全运营场景,还包括钓鱼邮件分析、终端和网络流量告警分析(usercase)、云服务和身份认证告警分析等,极大地拓宽了自动化安全运营的应用范围。这种全面自动化的研判体系,不仅提高了处理告警的效率,还增强了对复杂安全威胁的响应能力,是现代网络安全防御的重要进步。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1684192.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

uniapp移动端骨架屏流程

1.使用微信开发者工具来生成骨架屏;在分窗模式下选择页面信息,下拉选择生成骨架屏;他会基于当前页面生成骨架屏的样式 点击确定; 会自动生成这两个文件;一个是html结构文件,一个是css样式文件。 然后把这两…

【C++】学习笔记——map和set

文章目录 十五、map和set1. 关联式容器2. set的介绍3. set的使用4. multiset5. map的介绍6. map的使用7. multimap8. map中重载的operator[] 未完待续 十五、map和set 1. 关联式容器 我们已经接触过STL中的部分容器,比如:vector 、list 、deque 等&…

【C++】牛客 ——NC138 矩阵最长递增路径

✨题目链接: NC138 矩阵最长递增路径 ✨题目描述 给定一个 n 行 m 列矩阵 matrix ,矩阵内所有数均为非负整数。 你需要在矩阵中找到一条最长路径,使这条路径上的元素是递增的。并输出这条最长路径的长度。 这个路径必须满足以下条件&#…

HP1010|图腾柱无桥PFC电流采样模式小结

伴随着氮化镓和碳化硅等第三代半导体功率器件在应用端的兴起,图腾柱PFC也随之从学术研究走到了现实的产品里。然而,在受益于拓扑电路简洁,高功率密度和效率的同时, 还是有很多技术难点是需要克服的。本文将讨论图腾柱PFC电流采样&…

南京沁恒微USB HUB CH334/CH335多种封装规格选择,外围简单,价格还美丽

概述: CH334 和 CH335 是符合 USB2.0 协议规范的 全速,下行端口支持 USB2.0 高速 480Mbps 个 TT 分时调度 4 个下行端口),还支持高性能的 工业级设计,外围精简,可应用于计算机和工控机主板 特点&#xff1…

NetBox-插件 QR二维码安装汉化教程

简介 本文章主要介绍安装QR插件并进行中文字体支持、字段汉化、增加下载功能,自定义显示字段等。 Netbox 的QR插件,用于给各种实体生成二维码标签,用于贴在实体上。二维码为实体的netbox网址。 Netbox系列文章:https://songxwn…

kali linux 网络配置

1. 静态IP配置 首先打开kali网络配置文件 /etc/network/interfaces vi /etc/network/interfaces 将下方内容添加 auto eth0 iface eth0 inet static address 192.168.136.199 netmask 255.255.255.0 gateway 192.168.136.254auto eth0 #网卡名 iface eth0 inet static …

形态学操作:腐蚀、膨胀、开闭运算、顶帽底帽变换、形态学梯度区别与联系

一、总述相关概念 二、相关问题 1.形态学操作中的腐蚀和膨胀对图像有哪些影响? 形态学操作中的腐蚀和膨胀是两种常见的图像处理技术,它们通过对图像进行局部区域的像素值替换来实现对图像形状的修改。 腐蚀操作通常用于去除图像中的噪声和细小的细节&a…

如何在.NET中集成SignalR

SignalR 简介 SignalR是一个开放源代码库,可用于简化向应用添加实时Web功能,实时Web功能使服务器端代码能够将内容推送到客户端。 SignalR开源库:https://github.com/SignalR/SignalR SignalR 应用场景 需要高频次从服务器获取信息的应用&am…

Jenkins 动态salve简单配置连接 EKS

安装Jenkins helm repo add jenkins https://charts.jenkins.io helm repo update # 当前版本 jenkins-5.1.18.tgz瘦身后的 values.yaml # grep -Ev ^\s*#|^$ values.yaml nameOverride: fullnameOverride: namespaceOverride: clusterZone: "cluster.local" kubern…

Docker仅需3步搭建免费私有化的AI搜索引擎-FreeAskInternet!

简介 FreeAskInternet 是一个完全免费、私有且本地运行的搜索引擎,并使用 LLM 生成答案,无需 GPU。用户可以提出问题,系统会进行多引擎搜索,并将搜索结果合并到ChatGPT3.5 LLM中,并根据搜索结果生成答案。 什么是 Fr…

RedHat9 | 配置转发DNS服务器

一、实验环境 1、介绍 转发服务器(Forwarding Server)接收查询请求,但不直接提供DNS解析,而是将所有查询请求发送到另外的DNS服务器,将查询的结果返回后保存到缓存中。如果没有指定转发服务器,DNS服务器会…

Springboot+Vue项目-基于Java+MySQL的交通管理在线服务系统(附源码+演示视频+LW)

大家好!我是程序猿老A,感谢您阅读本文,欢迎一键三连哦。 💞当前专栏:Java毕业设计 精彩专栏推荐👇🏻👇🏻👇🏻 🎀 Python毕业设计 &…

AI--构建检索增强生成 (RAG) 应用程序

LLM 所实现的最强大的应用之一是复杂的问答 (Q&A) 聊天机器人。这些应用程序可以回答有关特定源信息的问题。这些应用程序使用一种称为检索增强生成 (RAG) 的技术。 典型的 RAG 应用程序有两个主要组件 索引:从源中提取数据并对其进行索引的管道。这通常在线下…

FRAUDARCatchSync算法简介

参考:https://blog.51cto.com/u_15127663/2778705 1. 背景 Fraudar 要解决的问题是:找出社交网络中最善于伪装的虚假用户簇。虚假用户会通过增加和正常用户的联系来进行伪装,而这些伪装(边)会形成一个很密集的子网络,可以通过定义…

数据结构(二)单链表

一、链表 (一)概念 逻辑结构:线性 存储结构:链式存储,在内存中不连续 分为有头链表和无头链表 同时又细分为单向、循环、双向链表 (二)有头单向链表示意图 以下数据及地址只是为了方便理解…

STM32_ADC

1、ADC简介 ADC,即Analog-Digital Converter,模拟-数字转换器。 ADC可以将引脚上连续变化的模拟电压转换为内存中存储的数字变量,建立模拟电路到数字电路的桥梁。 12位逐次逼近型ADC,1us转换时间。 输入电压范围:0~3.3…

MySQL数据库单表查询中查询条件的写法

1.使用比较运算符作为查询条件 ; !; >; >; <; <; 如上图所示&#xff0c;可以使用命令select 字段&#xff0c;字段 from 表名 where Gender “M”; 即挑选出Gender “M” 的教师&#xff0c; 如上图所示&#xff0c;可以使用命令select 字段&#xff0c;…

fastadmin 树状菜单展开,合并;简要文件管理系统界面设计与实现

一&#xff0c;菜单合并效果图 源文件参考&#xff1a;fastadmin 子级菜单展开合并、分类父级归纳 - FastAdmin问答社区 php服务端&#xff1a; public function _initialize() {parent::_initialize();$this->model new \app\admin\model\auth\Filetype;$this->admin…

chatGPT预训练模型范例之GPT3系列模型的解密

目录 前言 一、GPT的背景 二、GPT的架构 那么如何实现零样本&#xff08;zero-shot&#xff09;学习呢? 这里我们还是主要来看一下 GPT-3 中所谓的 few-/one-/zero- shot 方式分别是什么意思&#xff1f; 三、GPT的应用 四、GPT3的局限性 前言 近年来&#xff0c;预训练…