【臺灣資安大會直擊】用AI對抗AI，緯創資通藍隊將資安事件回應速度從「小時」縮短至「分鐘」

約從兩年前開始，該公司嘗試運用AI解決長年困擾SOC團隊的「告警疲勞」問題，並利用AI Chatbot大幅優化事件查詢效率，這些應用實例已展現AI在日常維運中的關鍵價值。

每月近1千筆資安警訊、65%為誤報，解決告警疲勞成焦點

「企業藍隊每月面對將近1,000筆告警，但其中約65%是誤報。」緯創資通資訊安全系統監控部技術經理楊庭瑋指出，由於團隊要求每筆事件皆須檢視、記錄與追蹤，面對每月大量告警且準確率低的狀況，SOC團隊往往耗費大量精力在處理無效告警，導致真正具威脅的事件可能被延後處理，增加企業風險。

楊庭瑋坦言，在過去實務經驗中，若依傳統人工模式，當真正威脅發生時，往往需耗費約數小時才能啟動處理，此時威脅可能已造成實質影響。因此，團隊一直在思考要如何提升處理效率，隨著LLM模型與生成式AI能力的持續展現，緯創自2024年起，將之納入企業藍隊防護的核心。

企業藍隊AI布局聚焦4大面向，強化偵測與回應的投入最大

為了確保AI能有效落地，楊庭瑋表示團隊在規畫初期，先透過NIST CSF 2.0及CDM（Cyber Defense Matrix）框架進行盤點，找出適合AI介入的場景，一開始他們選定的範圍，不僅包含異常偵測，亦涵蓋事件處理、情資整合與資安政策標準，進而歸納出四大戰略方向：強化偵測與回應、彌補自動化斷點、輔助資安宣導，並致力於縮短全球據點間的技能落差。

在強化偵測與回應與彌補自動化斷點方面，團隊初期鎖定定義較明確、每月約30至50筆的病毒感染與網頁攻擊事件作為起點。導入前，人工作業常需排隊4小時才進入處理；導入AI後，緯創資通在內部開發名為​「哥倫布」​的平臺，系統可先行抓取Log日誌並自動判斷：若為誤報則直接結案，若判定異常即通報。實測顯示，原本需15分鐘的分析工作縮短至1分鐘，且達成零遺漏的精準偵測。

然而，當應用擴展至更複雜的異常登入場景時，挑戰也隨之而來。面對每月平均約150筆、誤報率高達95%的沉重負擔，緯創資通期望透過AI解決此痛點，並設定目標，要求正確率須達95％以上，且絕不容許任何威脅遺漏。

楊庭瑋透露，訓練過程並非一帆風順。2024年3月啟動時，正確率僅在55％至80％間擺盪，甚至在模型從GPT-3.5升級至GPT-4時，正確率一度因模型特性改變而大幅下滑，令團隊感到意外。後續團隊改採多模型互檢機制並優化提示詞工程，正確率終於穩定達到平均97.5％，處理時間從4小時壓縮至10分鐘，另外也解決了過去每月約1％的漏報風險。

除了解決告警問題，他們的企業藍隊還有發展關聯建模與可視化分析，其核心目標在於建立人員與事件間的關聯拓樸，並將外部威脅情資與內部資產進行精準比對，楊庭瑋並鼓勵企業積極探索此領域；同時該團隊也發展互動式資安應用，主要作為資安威脅查詢與事故回應的輔助核心。

關於這方面的開發經驗，楊庭瑋強調：「設計核心在於不讓單一Agent負擔過多任務。」其團隊打造的Agent分工架構，由前端Agent負責判讀需求，再交由後端6個專長不同的Agent執行情資查詢、Log分析等特定任務。這種設計不僅減少Token浪費，更提升了精準度。

該平臺目前已能自動比對攻擊IP位址情資，並在人員審核後，自動執行將IP位址加入黑名單或撤銷帳號Session等處置，將分析與回應整合在單一介面。雖然現階段仍需由人工下達執行指令，但已大幅提升了處置效率。

綜觀上述這項實踐，讓我們聯想到近年資安業者強調產品已朝向Agentic SIEM發展，楊庭瑋表示，團隊也持續關注相關產品，而這段自研AI的經驗累積，不僅強化了現有的自動化能量，也讓未來評估相關解決方案時可以有更具體的判斷依據。

建立兩類型資安知識庫，解決技術斷層問題

另兩項企業藍隊AI關鍵應用，在於輔助資安宣導與縮短全球技能落差的層面。

楊庭瑋表示，資安不只是IT同仁的事，而是全公司的事。因此希望讓同仁能快速理解公司資安政策，降低違規風險，他們並針對不同目標需求打造相應機制。

首先，對一般員工，資安團隊提供類似Chatbot的資安規範小幫手，方便大家諮詢，讓同仁不必翻找文件，可直接詢問網路阻擋原因、密碼政策等常見問題。

其次，對資安人員而言，則提供面向SOC作業架構與流程的資安指南，由於緯創主要製造與研發基地遍布全球多國，協助新進或海外同仁快速理解作業流程、消弭技術斷層，亦顯得至關重要。

總結緯創資通的實戰經驗，楊庭瑋強調，AI雖無法完全取代資安人員，卻是很好的增援戰力。面對駭客利用AI發動攻擊的嚴峻情勢，緯創正積極實踐「用AI對抗AI」。他並強調，目前公司藍隊防護的成果多源自2024年的開發基礎，但緯創資通後續也在持續深化應用，朝向更高度且完善的自動化AI防禦體系邁進，並期勉所有資安同仁與AI並肩作戰，讓防禦能走在威脅之前。