Mend.io 如何使用 Anthropic Claude 和 Amazon Bedrock 解锁 CVE 数据中的隐藏模式

关键要点

• Mend.io 利用 Anthropic Claude 在 Amazon Bedrock 上分析 CVE 数据，成功识别攻击需求。
• 通过处理超过 70,000 个漏洞，Mend.io 大幅提高了安全分析的效率，节省约 200 天的人工工作时间。
• 文章探讨了在集成大语言模型 (LLM) 到实际应用中的挑战及最佳实践。

本文由 Hemmy Yona、Gili Nachum、Maciej Mensfeld 和 Tzahi Mizrahi 于 2024 年 7 月 18日发表，并讨论了 Mend.io 如何在网络安全领域运用先进的 AI 技术来优化漏洞分析及分类。网络安全领域不断发展，能有效分析和分类常见漏洞与暴露 (CVE) 是至关重要的。Mend.io 通过使用 Anthropic Claude，利用大语言模型的强大能力，对 CVE中特定攻击需求的详细信息进行了分类和识别。这种能力不仅为他们的客户提供了更高质量的判断，还使得漏洞优先级得以优化，从而增强了其市场竞争优势。

此外，文章还探讨了在这一过程中面临的挑战，比如配额管理、成本估算和意外的模型响应等，同时提供了模型选择过程、结果分析、结论和建议的深度见解，以及 Mend.io 对人工智能在网络安全领域未来应用的展望。

整理 CVE 数据中的攻击需求

随着 CVE的不断涌入，网络安全专业人员面临着重大挑战。每年都有成千上万的新漏洞被报道，其描述的清晰性、完整性和结构各异。报告的内容常常简明、模糊或缺少重要的细节，埋藏了诸如攻击需求、潜在影响和建议缓解步骤等关键信息。这种 CVE报告的非结构化特性使得提取可操作见解变得非常困难。自动化系统在准确读取和理解这些复杂的不一致叙述时常常会出错，增加了忽略或误解关键细节的风险，这对安全态势造成严重影响。

网络安全专业人员面临的一个最具挑战性的任务是从这些大量高度多样化的自然语言描述中识别攻击需求。这些攻击需求指的是成功利用漏洞所需的具体条件和先决条件。对于评估和减轻潜在风险来说，确定攻击需求的存在与否同样至关重要。然而，手动筛选每个描述以提取这些细微信息几乎是不可能的，考虑到涉及的数据量。

使用 Anthropic Claude 的决定及其带来的优势

面对这样的挑战，大语言模型 (LLMs) 提供了一种有希望的解决方案。这些先进的生成 AI 模型擅长理解和分析大量文本，使其成为筛选 CVE报告以确定包含攻击需求详细信息的最佳工具。

在评估中，Mend.io 发现尽管其他 LLM（如 GPT-4）在分析 CVE 描述时表现良好，但 Mend.io 具体要求更符合 AnthropicClaude 的能力。Mend.io 采用诸如 <example-attack-requirement> 这样的标签进行了测试，相比之下，Anthropic Claude 精确遵循结构化提示并包含预期标签的能力显得更为合适。

此外，Anthropic Claude 具备识别提示中的 XML 标签的独特能力，这使得 Mend.io能够更好地组织提示的信息，从而提高准确性，让其分析更贴合实际需求。同时，与 Amazon Bedrock的无缝集成提供了一个强大且安全的平台来处理敏感数据，AWS 的安全基础设施增强了对数据隐私和安全的信心。

构建提示的艺术与科学

要为 Anthropic Claude 构建完美的提示，需要对模型的能力有深入了解，并进行细致的处理，以确保其分析是精准的和符合实际应用的。Mend.io提供了丰富的上下文、示例，并明确区分了攻击复杂性与攻击需求，这在 Common Vulnerability Scoring System (CVSS) v4.0 中得到了定义。这一细节对于确保 Anthropic Claude 能够准确识别 CVE 描述中的细微信息至关重要。

使用 XML 标签进行提示结构化是一个关键改变。这些标签使得 Mend.io 能够隔离不同的部分，引导 Anthropic Claude的焦点，从而提高其响应的准确性。通过这种独特的能力，Mend.io 能够引导模型关注 CVE 数据中的特定方面，简化分析过程。

以下示例展示了如何有效构建提示以识别钓鱼邮件：

xml <Instructions> 分析邮件以识别潜在的垃圾邮件或钓鱼威胁。用户应提供完整的邮件内容，包括标题，通过复制粘贴或直接上传邮件文件。 </Instructions> <AnalysisProcess> <StepOne> <Title>分析发件人信息</Title> <Description>验证发件人的电子邮件地址和域名。评估额外的联系、日期和时间以评估合法性和上下文</Description> </StepOne> <StepTwo> <Title>检查邮件内容</Title> <Description>分析主题行和正文内容的相关性和合法性。警惕快速提议。评估个性化和发件人合法性。</Description> </StepTwo> <StepThree> <Title>检查未经请求的附件或链接</Title> <Description>识别并仔细审查超链接的潜在钓鱼或垃圾邮件指示。建议在没有直接互动的情况下验证链接的合法性。使用 VirusTotal 或 Google Safe Browsing 等工具进行安全检查。</Description> </StepThree> </AnalysisProcess> <Conclusion> 根据分析，提供邮件为垃圾邮件或钓鱼的可能性估算，并以百分比形式表示风险等级。这一全面分析帮助用户就邮件的真实性做出明智决策，同时强调安全性和隐私。 </Conclusion> <DataHandling> 将上传的文档视为“知识来源”。严格遵循提供的事实，避免推测。优先考虑记录的信息，而不是基线知识或外部来源。如果文档中没有找到答案，明确说明。 </DataHandling>

面临的挑战

在使用 Anthropic Claude 的过程中，Mend.io 切身体验到了该服务的灵活性和可扩展性。随着分析工作量扩展到 70,000 个 CVE，他们发现了优化服务特性和成本管理的机会。在使用 Amazon Bedrock 的按需模型部署时，Mend.io 主动管理每分钟的 API 请求 (RPM) 和每分钟的令牌 (TPM) 配额，通过并行化模型请求并调整并行度以保持在配额限额内。他们还利用了 Boto3 Python库中内置的重试逻辑，以无缝应对偶尔的限流场景。对于需要更高配额的工作负载，Amazon Bedrock 的 选项提供了简单的解决方案，尽管在这一情况下与 Mend.io 的特定使用模式不太相符。

虽然最初对 70,000 个 CVE的分类成本估计较低，但最终费用较高，这归因于输入数据复杂，导致较长的输入和输出序列。这突出显示了全面测试和基准测试的重要性。Amazon Bedrock的灵活定价模型使组织能够通过考虑其他模型选项或数据分区策略来优化成本，使得简单案例可以由更具成本效益的模型处理，而将更具挑战性的实例保留给高容量模型。

在使用 AWS 提供的高级语言模型时，精确构建与期望输出格式相符的提示至关重要。在 Mend.io 的案例中，他们希望获取简单的 YES/NO答案以简化后续的数据整理步骤。然而，模型常常提供超出预期简洁响应的额外上下文、理由或解释。尽管这些扩展的响应提供了宝贵的见解，但也引入了意想不到的复杂性。这一经历强调了提示优化的重要性，以确保模型输出与用例的特定要求紧密对齐。通过迭代优化提示，组织可以提升模型响应的质量，提高数据处理管道的效率和有效性。

结果

尽管面临挑战，Mend.io 的努力取得了成功。他们成功识别了包含攻击需求详细信息的 CVE，为安全团队提供了宝贵的见解，以优化漏洞优先级和强化防御。这一成果具有重大意义，因为理解利用漏洞的具体前提对于评估风险和制定有效的缓解策略至关重要。借助 Anthropic Claude 的强大能力，Mend.io 能够深入分析数万份 CVE报告，提取出几乎不可能通过手动分析获得的攻击需求的细微信息。这一壮举不仅节省了宝贵的时间和资源，还为网络安全团队提供了全面的威胁态势，使他们能够做出明智决策，并有效优先处理工作。

Mend.io 对 Anthropic Claude 进行了全面评估，共发出 68,378 个请求，并未考虑任何配额限制。在最初对 100个漏洞进行分析以了解攻击向量的实验中，他们能够确定 Claude 直接 YES 或 NO 答复的准确性。如下表所示，Anthropic Claude在提供直接的 YES 或 NO 答复方面表现出色，成功率达到 99.9883%。在少数未能给予直接答案的情况下，Anthropic Claude仍提供了足够的信息来确定正确的响应。这一评估揭示了 Anthropic Claude 在处理多种查询时的高准确性和可靠性。

未来计划

成功应用 Anthropic Claude 识别 CVE 数据中的攻击需求细节只是生成 AI在网络安全领域广阔潜力的开始。随着这些先进模型的不断发展，它们的能力将进一步扩展，为漏洞分析、威胁检测和事件响应的自动化开辟新的前沿。在这一领域一个可行的方向是利用生成 AI 自动化漏洞分类和优先级排序。通过利用这些模型分析和理解技术描述的能力，组织可以简化识别和解决最关键漏洞的过程，确保有限资源得到有效分配。此外，生成 AI模型还可以经过训练，检测并标记软件库或网络流量中的潜在恶意代码签名。这种主动的方法可以帮助网络安全团队领先于新兴威胁，使他们能够迅速响应并在漏洞被利用之前减少风险。

除了漏洞管理和威胁检测，生成 AI在事件响应和取证分析中也展现了潜力。这些模型可以帮助解析和理解大量的日志数据、网络流量记录及其他安全相关信息，加速根本原因的识别，并更有效地进行补救工作。随着生成 AI 的不断进步，其与其他前沿技术（例如 ML 和数据分析）的整合将解锁对网络安全领域的强大应用。大规模处理和理解自然语言数据的能力，加上 ML算法的预测力，将可能彻底改变威胁情报的收集，使组织能够提前主动防御新兴的网络威胁。

结论

网络安全领域在不断进步，利用 Amazon Bedrock 强大基础设施的生成 AI 模型，例如 AnthropicClaude，标志着数字防御向前迈进了一大步。Mend.io 成功地应用这一技术提取 CVE 数据中的攻击需求细节，证明了语言 AI在漏洞管理和威胁分析领域的变革潜力。通过运用这些先进模型的力量，Mend.io证明了处理大量非结构化数据这一复杂任务是可以进行精准而高效的。这一举措不仅赋予安全团队宝贵的洞察力以优先处理漏洞，还为未来在自动化漏洞分析、威胁检测和事件响应中的创新铺平了道路。Anthropic和 AWS 在帮助像 Mend.io 这样的组织利用这些尖端技术方面发挥了重要作用。

展望未来，可能性令人振奋。随着语言模型不断进化并与其他新兴技术（如 ML 和数据分析）结合，彻底改变威胁情报收集和主动防御的潜力变得越来越切实可行。

如果您是希望在组织中充分发挥语言 AI 潜力的网络安全专业人士，建议您深入探索 Amazon Bedrock 和 的能力。通过将这些尖端技术整合到您的安全操作中，您可以优化漏洞管理流程，提升威胁检测，增强整体网络安全态势。今天就开始探索，看看 Mend.io的成功如何激励您踏上更安全数字未来的旅程。

关于作者

Hemmy Yona 是亚马逊网络服务的解决方案架构师，驻以色列，拥有 20年的软件开发和团队管理经验，热衷于帮助客户构建创新、可扩展及具有成本效益的解决方案。

Tzahi Mizrahi 是亚马逊网络服务的解决方案架构师，专注于容器解决方案，拥有 10 年以上的开发和 DevOps 生命周期流程经验。

Gili Nachum 是 AWS 的首席解决方案架构师，专注于生成 AI 和机器学习，帮助 AWS 客户构建新基座模型，利用 LLM 创新。

Maciej Mensfeld 是 Mend 的首席产品架构师，专注于数据获取、聚合和 AI/LLM安全研究。作为软件架构师和安全研究员，Maciej 积极参与各种项目并担任会议演讲者。

加载评论…