生成式大模型已经广泛应用于网络安全产业。CrowdStrike作为领先的安全厂商,也在生成式大语言模型上有非常大的投入,并已经广泛用于各安全产品。
本文对CrowdStrike的AI能力作综合分析,共分为四部分:
一、基本能力介绍
二、GenAI模型分析
三、深度学习模型能力
四、创新点总结
CrowdStrike的AI应用在网络安全里非常有代表性,同时本文也是后续相关产品进化分析的基础,建议阅读收藏。
![]()
CrowdStrike的生成式AI有个专有的名字,叫Charlotte(夏洛特) AI。其主要能力包括:
强调本地数据的接入,针对本地数据问答。通用大模型,类似chatgpt,只有通用的知识,而没有本地的数据信息,所以无法直接解决问题,而Charlotte AI则可以直接处理本地数据,如,你可以问:
“我们是否存在涉及 Microsoft Outlook 的漏洞?“我们是否已针对 Log4j 漏洞采取了防护措施?我们面临的风险在哪里?”这些都能得到根据本地真实数据的准确的回答,如图![]()
Charlotte AI 的自然语言处理提升了所有用户的技能水平,使分析师能够从他们的 Falcon 模块中释放更大的价值,从发现关键检测和生成脚本到总结新兴威胁情报等等——无需筛选文档或学习脚本语言。简单说,直接一个助理页面完成调查,不用再在各个工具中跳来跳去了,也不再需要非常高的能力了。
以下是一个相对完整的调查例子,针对4个具体的问题可以直接回答:
“你能扫描我的终端资产以查找你发现的任何 IOC 吗?”“针对受影响的端点,最建议采取的补救措施是什么?”![]()
效率提升的效果也非常显著:
![]()
威胁情报需要熟练的分析师来解读,但很多组织并没有这样的专家。CrowdStrike 有专门应对利用威胁情报挑战的方法,可以调用威胁情报代理,该代理可以理解情报报告,总结关键见解并自动识别相关漏洞和安全建议的过程,并确定对他们重要的事情并采取必要的措施来减轻潜在威胁。和其它平台一样,涉及到大数据,查询语句都会非常复杂,针对这个问题,Charlotte AI能够自动生成query,也支持手动修改,非常方便。
可以看出,CrowdStrike的思路和微软的Security Copilot异曲同工。如上图,Charlotte AI是个非常复杂的概念,涵盖了Agent,数据层,AI原生,工作流集成,安全产品及服务整合的所有方面。国内的厂商在宣传中都强调安全大模型的概念,CrowdStrike未专门强调其模型,但重点强调了数据:
生成式人工智能有能力成为网络安全领域的力量,但其最终影响将取决于基础数据的质量、背景和完整性。Charlotte AI 利用世界上保真度最高的安全数据,其中包括 CrowdStrike 威胁图中捕获的数万亿个安全事件、来自用户、设备、身份、云工作负载的资产遥测以及 CrowdStrike 行业领先的威胁情报。最关键的数据集—— 是 CrowdStrike 的人工验证内容。Charlotte AI 将受益于 CrowdStrike® Falcon OverWatch™ 托管威胁搜索、CrowdStrike Falcon® Complete 托管检测和响应、CrowdStrike Services 和 CrowdStrike Intelligence 的持续人工反馈循环。这个用于阻止现实世界中违规行为的庞大人工情报数据集对于 Charlotte AI 来说是独一无二的。就像人工智能从一开始就有的那样,只有CrowdStrike将安全遥测、威胁情报和人工验证内容的强大组合整合到网络安全最强大的数据结构中。
当然,这些数据可以用于大模型训练,也可以用于小模型训练。CrowdStrike发布了AI的白皮书《Inside Charlotte AI's
Multi-AI Architecture》,重点阐述了多AI架构,其实就是多Agent架构。
CrowdStrike 的多智能体 AI 架构将用于一般指令遵循的大型语言模型 (LLM)与较小的专业智能体(包括针对细微网络安全任务进行优化的基于机器学习的分类器)相结合。这种方法使公司能够利用不同 AI 模型的优势,同时降低LLM 的幻觉风险。Charlotte AI的多AI代理架构的主要特点和优势包括:
多AI代理设计:Charlotte AI将任务分解为多个子任务,并使用不同的AI代理(包括微调的LLM和其他AI技术)来完成这些子任务。
灵活性和优化:这种设计允许CrowdStrike为每个子任务选择和优化最合适的AI模型,以提高速度、准确性和安全性。
风险隔离:多AI架构可以限制单个模型变化或攻击的影响范围,提高系统的整体稳定性和安全性。
内置安全措施:Charlotte AI在LLM和终端用户之间设置了防护措施和控制机制,以验证LLM输出并保护用户隐私,标准的护栏技术。
专业化:AI代理经过专门训练,能够理解安全分析师的特定语境和工作流程。
数据整合:系统利用CrowdStrike Falcon平台的大量遥测数据和威胁情报来训练和优化AI模型。
任务路由:Charlotte AI使用专门的路由代理来决定将用户请求分配给哪个AI代理处理。
这种架构使CrowdStrike能够为安全分析师提供快速、准确和安全的AI辅助体验,同时保持灵活性以适应未来的AI技术发展。
在大模型上,支持使用客户自己的LLM,比如,也可以和Openai对接。
CrowdStrike的深度学习模型能力包括用户行为分析UEBA,AI驱动的IOA及风险优先级排序。行为分析涉及研究组织用户的趋势和活动模式。在网络安全的背景下,行为分析侧重于网络和应用程序中的用户行为,观察可能意味着安全威胁的异常活动。使用的数据主要包括:网络流量,数据库活动,用户活动,系统事件检测内部威胁:行为分析有助于识别可能表示组织内部恶意行为的异常活动 — 可能是员工或承包商的行为。检测高级持续性威胁 (APT):APT 是一种网络攻击,入侵者在网络中建立未被发现的存在,以长时间窃取敏感数据。行为分析可以通过标记可能被忽视的异常模式来发现 APT。异常检测和威胁搜寻:通过识别偏离行为基线的活动模式,行为分析有助于主动搜索潜在威胁。事件响应和调查:事件发生后,组织使用行为分析通过调查攻击期间发生的异常来协助进行取证分析。IOA( Indicators of Attack) 是 CrowdStrike 首次提出的概念,是一系列观察到的事件,表明有人试图主动破坏系统(例如代码执行、持久性和横向移动)。通过检查攻击面上的这些事件和过程,IOA 使组织能够取代工具之间的孤岛,全面研究其环境,从而使他们能够更好地预测和预防可疑活动的指标并发现复杂的对手技巧。AI 驱动的 IOA,增强了 IOA 生成过程,将 AI 应用于生成新攻击指标的过程,并进一步扩展了从传感器和云的多层防御(与 ML 驱动的恶意软件分类以及现有的 IOC 和 IOA 一起)。将云原生机器智能的强大功能应用于生成 IOA 的过程,使我们能够提高检测新行为模式的速度,同时显著提高模型的精度。利用卷积神经网络的深度学习来发现和预测新的对抗模式。目前发布了两个首创模型:一个针对恶意后漏洞利用负载,另一个检测恶意 PowerShell 脚本,包括:1.Windows 中的多进程原子行为分析
2.检测恶意命令行和离地二进制文件( LOLBins)
3. 覆盖恶意 Linux 脚本
4.检测恶意 Windows MultiScript 内容
5.检测无文件 .NET 程序集ExPRT.AI通过分析各种漏洞和基于威胁的检测数据,包括CrowdStrike自己的威胁情报,为安全运营团队提供动态的、响应性强的ExPRT评分
ExPRT.AI的工作原理是,它不断调整模型来预测哪些漏洞最有可能被利用,并为这些漏洞提供动态评分。这种评分与传统的静态漏洞评分系统(如CVSS)不同,后者通常只提供一次性的评分,而不考虑随时间变化的威胁环境。ExPRT.AI的动态评分意味着安全团队可以优先处理那些对他们的组织环境构成真正且紧迫风险的漏洞
CrowdStrike的Charlotte AI,有许多比较好的创新点,包括:1.大小模型结合的多Agent架构。每个模型的能力不同,将任务分解成不同的子任务,由不同的agent来解决,优秀的任务路由能力保证任务正确分解及分配。2.强调数据和环境的结合。只有结合本地数据的分析才能解决问题,Charlotte AI有完善的数据处理机制,并支持数据的快速自动对接,实现完整数据分析能力。3.高级自动化能力。安全专家的终极力量倍增器:Charlotte AI 将使最有经验的安全专家能够自动执行重复性任务,如数据收集、提取和基本威胁搜索和检测,同时使执行更高级的安全操作变得更加容易。4.简单的自然语言交互解决问题。安全分析师效率大幅提升,能力也得到加强。在AI能力加持下的各安全产品和服务,检测分析响应能力均大大增强,(后续将深入分析)看来,AI驱动安全,确实已经见到效果,并将继续成为趋势。
