2023 RSAC大会已于当地时间周一在美国旧金山拉开帷幕。与去年的大会相比，AI技术受到了参会嘉宾与企业组织的空前关注。在今年大会创新沙盒决赛的路演环节，AI技术的可利用性与安全性成为几乎所有入围企业的宣讲重点，而专注AI技术安全的初创企业HiddenLayer受到了评委会的特别青睐，赢得了最后的冠军。

通过观察在本次大会上发布的一系列安全新品也可以发现，整合应用生成式AI技术已成为其中的主打特色，包括SentinelOne、谷歌云、埃森哲、IBM等在内的众多厂商都发布了基于生成式AI技术的新一代网络安全产品。这充分表明了，一场由生成式AI应用驱动的“网络安全军备竞赛”已经开启。

在本文中，研究人员收集整理了在今年大会上发布的10款新一代网络安全工具，并对其主要应用特点进行了分析和介绍。

SentinelOne公司在今年的大会上发布了一款新的网络安全威胁搜索工具，并表示这是生成式AI技术在网络安全领域应用的一项重大进展。该工具充分利用了大型语言模型（LLM），相比传统模式大幅提高了安全分析师的工作效率。SentinelOne将这款基于生成式AI的新型威胁搜索工具称为“Purple AI”。

安全分析师能够在Singularity Skylight分析平台中使用新的生成式AI工具，并针对其组织环境中的安全威胁提出问题。通过使用自然语言查询系统，将为安全分析师大大节省威胁处理的时间，从而有更多的时间去响应更多的安全警报，并识别更多攻击。生成式AI技术还可以为分析师提供更简洁的事件分析报告，优化安全分析工作的效率。

据SentinelOne公司介绍，以这种方式实施生成式AI技术的主要目的是简化威胁搜索复杂度。整合这种生成式AI技术后，可以有效帮助企业的安全运营团队扩大威胁搜索活动的规模。新的SentinelOne威胁搜索工具最初将作为Singularity Skylight平台的附件来提供，目前已处于有限试用阶段。

谷歌云也发布了最新的Security AI Workbench产品，旨在帮助企业用户缓解威胁数据和使用众多安全工具所带来的日常安全运营压力。Security AI Workbench基于一种名为Sec-PaLM的新型安全专用大型语言模型。该模型充分结合了谷歌云丰富的威胁数据以及Mandiant在漏洞和恶意软件方面的情报数据。

据了解，使用谷歌云Security AI Workbench的客户，目前只能在特定时间向Security AI Workbench平台输入可供模型学习的隐私数据，以保证数据使用中的安全性。谷歌云将会把Security AI Workbench率先部署在其新产品VirusTotal Code Insight上，该新产品使用这项技术分析各种可能存在恶意的脚本，并向安全分析师解释其异常行为，最终有助于客户改进检测流程、增强威胁发现能力。该产品目前还处于试运行阶段，使用Security AI Workbench技术的更多产品和方案将于今年夏天正式推出。

埃森哲公司在今年的大会上正式宣布，将通过与谷歌云合作，推出新的MDR（托管式威胁检测和响应）服务，其中主要的AI功能将会基于谷歌云最新发布的Security AI Workbench产品来实现。该服务将充分利用云原生的安全信息事件管理平台和Mandiant的威胁情报，并通过Security AI Workbench提升安全分析师的工作效率。

为了让用户可以更快地访问Mandiant威胁情报，新的MDR服务系统会充分利用生成式AI的分析能力和总结能力。比如，可以利用生成式AI系统让分析师更快地确定新的威胁活动模式和特征，从而更快速、更有效地识别出未知威胁。

思科在今年的大会上正式发布了最新的扩展检测和响应（XDR）平台，这是一个全新设计的多功能威胁检测和响应平台，不仅融合了传统网络检测和响应（NDR）与端点检测和响应（EDR）能力，还具有独创性的跨域遥测数据能力。此外，新XDR平台利用循证自动化技术，几乎实现了可实时检测威胁，并确定威胁响应优先级，大幅提升了安全团队的运营效率。

此外，Cisco XDR的独特之处在于，不仅可以轻松整合旗下众多安全工具的高保真数据，还可以整合市场上主流的第三方安全产品，包括Microsoft Defender、Cybereason、Palo Alto Networks Cortex XDR、SentinelOne Singularity、Trend Micro Vision One以及ExtraHop Reveal NDR等。

IBM公司在大会上针对安全运营团队推出了新的产品套件：IBM Security QRadar Suite。QRadar Suite一直是IBM多年深耕威胁检测和响应领域的成果。在新发布的版本中，最主要功能特色也是基于AI的创新设计，比如基于AI的警报筛选、自动化威胁调查以及智能化的威胁搜索。

通过AI技术的应用，新的产品升级主要体现在统一的分析师体验、SaaS化交付模式以及与900多个第三方工具集成。IBM Security QRadar Suite的核心产品包括：面向云原生日志管理和安全可观察性的QRadar Log Insights、QRadar XDR、QRadar SOAR以及QRadar SIEM。

在今年的大会上，CrowdStrike公司和可观察性初创公司Cribl共同推出了一项新产品CrowdStream，旨在实现更加快捷和准确的网络安全数据采集与分析，该产品基于Cribl研发的开放可观察性平台来实现。

据介绍，CrowdStream平台可使用Cribl可观察性管道将任何数据源直接连接到CrowdStrike Falcon，大大简化并降低了将数据采集的成本和时间。该产品最终可以帮助用户提升对XDR和SIEM等工具的应用效果，同时有助于汇集用于训练AI和机器学习模型的数据。

专注移动安全的创新厂商Zimperium在大会上宣布，已成功实现了对移动设备防护和移动应用程序防护的能力整合。Zimperium最新发布的Mobile-First Security Platform方案将其原有的Mobile Threat Defense产品与Mobile Application Protection Suite产品主要功能相结合，简化了企业安全团队的应用复杂性，实现了端到端的移动安全防护能力融合。

Mobile-First Security Platform方案的优点之一就是为移动访问和管理两款安全产品提供了集中式界面，其他主要功能还包括：实现了设备端的威胁检测，无需再将数据上传云端；增加了阻止逆向工程的应用程序保护机制。

Flashpoint公司在今年的大会上发布了最新的情报平台Ignite，旨在帮助组织更好地防御网络威胁和物理威胁。该平台的最大特点在于，可以通过跨组织的多个不同团队来采集情报信息，并提供可以充当团队之间协作桥梁的情报数据。

最新版Ignite的主要功能包括Flashpoint Cyber Threat Intelligence，可以通过搜索数千个情报来源，同时监控不同威胁分子之间的联系，并获取来自Flashpoint分析师的威胁情报分析报告。方案其他重要功能还包括：可以帮助团队区分和修复漏洞的管理功能、监控和警报物理安全威胁的Flashpoint Physical Security Intelligence功能，以及面向特殊任务的Flashpoint National Security Intelligence功能。

网络威胁情报服务商Cybersixgill今年发布了一种新的攻击面管理解决方案，可以帮助用户的安全团队更快地区分和响应威胁。新方案充分利用该公司的威胁情报数据，帮助用户消除资产可见性盲点，并提供未知资产的持续映射和分类。这种持续的外部资产发现能力全面包括了识别域及子域、IP及主机、已知漏洞、软件以及证书。

新方案的其他主要功能还包括：资产库存管理，可以帮助用户深入了解资产关联、位置和资产类型；以及与威胁情报相关的资产监控，便于用户快速了解潜在风险和相关警报。

初创型安全公司Torq在今年大会上也发布了最新的Torq Hyperautomation Platform方案，有望帮助企业组织自动管理大规模环境下的超复杂安全基础设施。新平台可以针对组织常见的安全运营工作任务，将自动化能力充分引入到整个流程和工作流。

据公司介绍，Torq Hyperautomation Platform主要功能包括：能够跨所有基础设施环境（包括Slack、Zoom和Microsoft Teams）连接所有应用程序和堆栈；支持任何命令行接口或编程语言，以实现“自带代码”；编排容器化操作（支持Docker、Kubernetes、AWS和Azure），以实现“自带容器”。

此外，Torq Hyperautomation Platform还通过ChatGPT API整合了OpenAI技术，初步拥有了生成式AI功能。该平台可以通过Slack、Teams、Discord和Zoom中的聊天机器人界面，为用户解答问题，以帮助用户加快解决所遇到的安全问题。

https://www.crn.com/news/security/10-cool-new-cybersecurity-tools-announced-at-rsac-2023/1