数据观澜数据库
快捷导航
您的位置:首页>人工智能>>AI在现代威胁狩猎中的真实作用 >

AI在现代威胁狩猎中的真实作用

  发布时间:2025-12-07 15:19:44   作者:玩站小弟   我要评论
如今,AI无处不在,它存在于你的收件箱、社交信息流,甚至你的汽车里。在网络安全领域,它被吹捧为一种“灵丹妙药”,最终能让防御者跟上攻击者的步伐。我见识过足够多的炒作周期,深知事实远非如此简单。AI在威 。

如今 ,现代AI无处不在,威胁它存在于你的狩猎收件箱  、社交信息流,中的真实作用甚至你的现代汽车里。在网络安全领域 ,威胁它被吹捧为一种“灵丹妙药” ,狩猎最终能让防御者跟上攻击者的中的真实作用步伐。我见识过足够多的现代炒作周期,深知事实远非如此简单 。威胁

AI在威胁狩猎中的建站模板狩猎应用也不例外——它功能强大 ,但并非包治百病的中的真实作用良药。

不久前,现代许多公司出于对数据泄露和生产效率风险的威胁担忧,直接禁止使用ChatGPT等工具。狩猎开玩笑的,现在很多公司依然这么做。

然而,时光飞逝 ,一年后的今天 ,CISO开始尝试利用自主式AI实现工作流程自动化 ,高防服务器并填补技能缺口 。与此同时,攻击者也没闲着,他们利用AI优化网络钓鱼诱饵 、生成深度伪造内容,甚至编写数据勒索攻击的部分脚本。

但有一个重要区别  :在攻击中使用AI完成单个步骤  ,与AI主导整个攻击行动截然不同 。那种AI驱动的杀伤链超越人类防御者的设想 ,目前仍只是科幻而非现实 。就目前而言 ,最有趣的免费模板情况发生在防御者一方 ,AI开始在人类主导的威胁狩猎中扮演实用的“副驾驶”角色 。

现实框架 :TaHiTI

AI在威胁狩猎中新兴作用最有趣的方面之一 ,是英特尔471公司发布的报告 ,详细介绍了他们如何运用TaHiTI(Targeted Hunting integrating Threat Intelligence,即结合威胁情报的目标狩猎)来简化和自动化威胁狩猎流程 ,该框架在金融领域开发,将狩猎过程分为三个阶段:启动  、狩猎和收尾 。它不依赖于特定供应商 ,香港云服务器为原本可能混乱无序的工作提供了结构框架。

英特尔471的高级威胁狩猎分析师Scott Poley指出 ,TaHiTI之所以有效,正是因为它反映了狩猎活动的周期性 。你不能只测试一次假设——你需要不断优化它,在你的环境中运行,并反复迭代 ,直到区分出正常行为与真正的恶意行为 。

AI可以加速这一过程 ,但它无法取代将理论与现实区分开来的源码库机构知识。

智囊团,而非预言家

当你开始狩猎时 ,AI可以帮助你对假设进行压力测试  ,或将战术映射到MITRE ATT&CK框架 。Poley告诉我,AI如今最大的优势之一在于假设开发和加速研究 ,它可以通过呈现资深分析师已认可的相关行为或技术 ,为初级分析师提供助力,从而弥合技能差距。

同时 ,他警告说,大型语言模型往往过于顺从 。为了让AI保持诚实,亿华云他采用分步方法——先列出已知信息,然后让模型验证或挑战这些信息 。他说,这种对话式风格能带来更好的见解,避免被误导。

查询、聚类与上下文

一旦深入其中,AI可以提供查询模板,并比滚动搜索结果更快地指引你查阅文档,这对初级分析师来说确实节省了时间,但Poley也指出 ,AI在语法或优化方面常常表现不佳 。他不得不亲自纠正AI生成的查询,并反馈正确的语法,而AI却只是轻描淡写地回应“这说得通” 。

AI真正大放异彩的地方在于信息丰富化  。威胁狩猎往往存在视野狭窄的风险——过分关注单个工件或路径 。AI可以帮助拓宽视野 ,将活动与相邻的威胁行为者技术联系起来,或者揭示PowerShell中猎人可能忽略的别名。Poley将此描述为将小胜转化为更完整狩猎的上下文信息。

数据决定命运

这里有一个残酷的事实:如果你的日志只保留30天或60天 ,AI只会放大这些数据缺口。英特尔471的另一位高级威胁狩猎分析师Lee Archinal解释说 ,保留期短的终端检测与响应(EDR)数据会使良性但罕见的行为(如每月打开一次Word)看起来像异常。具有更长历史记录的安全信息和事件管理(SIEM)系统更有帮助,但仍需要人工调整以区分真实威胁与统计噪声 。

Archinal强调  ,最好将AI视为一种简化任务的工具,而非人类专业知识的替代品。你仍然需要一位分析师,他了解何时应用信息丰富化、你的环境中哪些基线重要 ,以及如何区分用户行为的怪癖与真正的安全威胁 。

让AI起草  ,让人类决定

没人喜欢写报告。AI非常擅长整理结构化摘要  ,包括高管摘要和技术细节 。如果处理得当,这种一致性可以减轻利益相关者的认知负担,并加快向安全运营中心(SOC)、事件响应(IR)和漏洞管理团队的交接速度 。

这就是AI可以在不将组织置于风险之中的情况下 ,使威胁猎人更高效的地方 。让模型起草,然后让人工编辑  。

未来之路

展望未来,AI在回顾性分析和操作指南中的作用可能最具价值 。用90天的日志数据对昨天的狩猎进行复盘 ,以发现趋势或测试假设 ,这种繁重的工作正是为AI量身定制的 。随着时间的推移 ,这些历史数据甚至可以训练系统根据类似案例中的有效方法提出“下一步行动” 。

但自动化应该反映人类的决策,而非取代它们 。Poley给我举了一个生动的例子  :在事件中,禁用某个账户可能会阻止攻击者——但如果时机不当,也可能会破坏核心业务流程 ,这是一个没有人类监督就不应由AI做出的决定 。

有何启示?AI将在威胁狩猎中长期存在,但它应该处于循环之中——而非触发行动 。利用它来扩展信息丰富化、聚类和报告功能。以TaHiTI等框架为支撑 。最重要的是,将其视为“副驾驶”,而非“自动驾驶仪” 。

攻击者也在尝试使用AI ,但防御者有机会更负责任、更有效地利用它。区别将在于我们对其局限性的理解程度 ,以及我们在让AI保持受控状态方面的自律性。

  • Tag:

相关文章

最新评论