還記得20多年前,我在前東家努力宣導資訊安全, 受到不少人質疑, 比如密碼他們記不起來,我要求的密碼位數長,又要大小寫英文數字組合還要特殊字元,(相信我,那時很多123456的密碼),為什麼不能用GMAIL, 是的GMAIL剛出來就被我禁了, 當時很多人應該很討厭我吧, 哈哈..這是當時我的很多很多決定中幾個很微小的幾件事, 後來我很努力在多層次防禦系統的建置,甚至我認為DMZ是不夠的, 我硬是在公司所有VLAN間都架設了防火牆, 架構上是使用了虛擬防火牆.其實那時光是此點, 連工程師我感覺都覺得我在找麻煩, 但時至今日, 不曉得覺得有沒有必要呢?
其實說穿了, 資訊安全大家現在很重視, 但重點還是在於預防重於治療. 所以早在當年也導入了IPS, 但實在是因為流量太大, 你很難開啟所有特徵碼偵測, SYSLOG也一樣量大, 直到最近這AI的出現, 我想它有很大的幫助, 就是可以用很短的時間, 閱讀大量的文本, 並且找到關鍵的問題.
近兩三年AI很紅, 但實際到底AI能落地到什麼地方, 大家都在焦慮, 而且近來也看到不少質疑的声音, AI究竟能提升多大的生產力? 甚至臉書,GOOGLE, 微軟這些明明很賺錢的公司, 反倒在裁員, 理由是AI取代了很多人.尤其是IT CODING的角色,真的生產力相差很大.但相對的也有不少研究指出, AI的應用反倒浪費了員工不少時間, 未必有多大的生產力, 我想每一個時代, 新技術的出現都會有一段百家爭鳴的時期, 就如同當年網路的出現, 後來又有網路購物, 當時也很多人質疑網路購物, 如今不也遍地開花, 甚至早已是理所當然生活的一部份了?
今天我不在談CODING,而在談, 如果你是一間預算有限的小公司, 如何利用AI強化既有的資訊安全体系.
2017年我到了一家在家附近的小公司任職, 這符合我後來離開大公司的初衷, 賺錢有數, 性命要顧的大原則, 畢竟已是亞健康狀態, 沒本錢留在大公司賣肝, 不過似乎也挺搞笑的, 現在還在賣肝的好像也不多, 一則奬金少了, 二則勞檢嚴格了..
這家公司完全沒有網管系統, 每天就靠一個工程師呢,做所謂的日常巡檢, 這其實沒有公司大小的差別, 20幾年前我初到我前東家時, 也是沒有網管系統, 他第一套網管也是我建的, 後來才在幾年後改用商用的網管系統,小公司嘛, 沒什麼經費, 我就安裝了CACTI, 也一直用到今日.
這是CACTI最為有用的一個畫面, monitoring, 只要都亮綠燈, 就代表服務正常, 大多數是SNMP監測, 或SNMP輔以PING來監測.我正是要說AI如何應用, 來輔助資訊安全的應用.當滑鼠移到某一設備時, 它會有幾個欄位信息, status, ip address, ping, last fail, availability. 這些都是當下即時的信息, 如果我要每日做個紀錄, 然後再做個比如PING值長期追蹤的趨勢分析, 我想用手記, 如果你要網管人員做這個, 我相信你會得到一個很大的白眼. 
我就利用AI, 主要是用龍蝦的技能, browser tool, 在節點使用瀏覽器快照的功能, 然後丟給SQLITE DB做個紀錄.. 因為事涉公司的信息, 我不得不加馬賽克, 請見諒, 主要就說個方法及流程. SQL里的DB SCHEMA也是AI按我要求建立的. 同時經過適當的正規化, 以做開發應用的準備.
有了每日的紀錄, 我就能針對PING值做紀錄, 針對日常正常維護做紀錄, 以校正它的可用度數值.這通常也和管理的績效有關.
這個系統則是用最近挺火紅,號稱能替代龍蝦,甚至有人認為比龍蝦好用的HERMES 愛馬士 AI AGENT做的. 使用的是PYTHON開發, FLASK架構.
以上是有關CACTI 特別舉PING值的趨勢分析來說明, 這可以看出網路穩定與否?特別針對有問題的裝置, 我想特別有用.
另外, 談談SYSLOGD, 這個也很重要, 將所有裝置的LOG, 集中放置, 做統一分析, 這點非常重要, 因為任何再厲害的駭客, 他想入侵你的起手式, 便是英文所謂的finger, 他們得先掃你, 才能找到你的漏洞. 所以如果他在掃時, 你就關他們禁閉, 不就完事了嗎? 當然有些不是單方面網管一個人能扛, 比如社交工程, 去搞你其它一般同仁, 這就只能靠ANTI-SPAMMER等機制儘量去攔截, 加上員工本身的資訊安全教育是否建立足夠的警覺心,
目前我是要求AI, 每天早晚分析SYSLOD里所有的LOG, 依據幾個大方向:
1. 異常登入: 比如帳號登入失敗..
2. VPN異常登入
3. 網路設備異常狀態偵測..
4. 各種compliance issues偵測
(以上概略舉例)
近期我是常發現有歐洲那邊, 專門在掃VPN漏洞, 我只要看到就在防火牆阻擋, 這點有很大的幫助. 倒是需要找時間, 給AI更大的權限, 讓它自己去設定看到就擋.不然無法做到即時阻擋, 但這一點還有待努力,
畢竟我現在都是測試用途, 用的也是免費大模型, 不是那麼聰明的MODEL, 只是做為一些AI應用的發掘及測試,再加上, 近來不也有個新聞, AI莫名其妙把一間SI公司所有客戶的資料給刪了.
加上, 玩AI有陣子了, 我發現呢, 即便你給了它很明確的指示, 比如這個不能做,那個不能動, 相信我, 對AI來說都是參考性質, 就看你有沒有發現? 我覺得他很像一個調皮的員工, 被發現做錯事就很誠心的跟你道歉, 有時我氣的都能感覺到它很真誠在道歉, 所以關於放手給AI 做所有的事, 坦白說, 我個人還持保留態度, 有點危險.
PS: 某些電腦待機時,尤其可允許網路開機的裝置, 在SWITCH上會有1G/10M來回跳的LOG, AI會誤判為PORT FLAPPING/UP & DOWN的異常.這個就只有看的人自己再進一步判斷.
但即便是免費MODEL, 開發一些基本的應用小系統, 其實也夠用了..
現在我的大原則就是白嫖AI免費大模型, 儘量不花大錢, 因為實質生產力有多少, 真的很難預估.
Kevin