top of page
  • Facebook
  • LinkedIn
  • X
  • YouTube
搜尋

AI 先發制人:Symantec 如何預測駭客的下一步?

結合全球攻擊鏈資料與雲端分析,讓 AI 防禦更精準、更主動。

一直以來,隨著網路攻擊型態的改變,企業資安防禦的思維也不斷調整。過去企業總希望能即時偵測、即時阻擋;但因為攻擊方式愈發刁鑽、惡意程式變種難防,許多防禦策略轉而強調「即使入侵,也不能讓駭客帶走資料」。


如今,隨生成式 AI 技術的進展,即時偵測與阻擋的能力再度成為可能。Broadcom 提出,透過 AI 預測駭客下一步攻擊行動,SOC 團隊能夠精確阻斷特定行為,而不必動輒採取全面中斷營運的措施。現在,我們就來談談Symantec如何運用AI做到事件預測(Incident Prediction)。


為何預測至關重要:威脅的演變

生成式 AI 在近幾年成為顯學,但其背後的機器學習技術,其實早已在 Broadcom 產品中應用數十年,包括檔案掃描、行為檢測、檔案信譽評等、沙箱技術等。如今,隨著大型語言模型(LLM)在推測上的精準度大幅提升,Broadcom 將它運用於攻擊事件預測上,也獲得了出乎意料的好結果。這背後的原因在於:駭客攻擊早已改變。


現今攻擊者會利用多種工具,在攻擊鏈中採取多個步驟,頻繁使用「就地取材」(living off the land)工具,如 PowerShell、PsExec,或兩用工具如 AnyDesk、PDQ Deploy。這些工具在合法使用時非常常見,也因此讓傳統資安產品難以辨別是否遭到惡意濫用,成為防禦破口。


更麻煩的是,當資安產品終於偵測並判斷為惡意行為時,往往為時已晚。例如,若偵測到憑證竊取工具 Mimikatz,通常代表攻擊者早已完成該入侵步驟,並準備展開下一階段行動。要真正「快一步」,就必須從被動阻擋,轉向預測駭客的下一步。


精準預測攻擊、精準阻斷惡意行為 不必全面斷網中斷營運

Broadcom Symantec Threat Hunters研發工程師Eric Chien在一場Webinar中指出,Broadcom將AI運用在預測攻擊,靈感來自於大語言模型,如ChatGPT,其能精準預測句子中的下一個詞。而Broadcom多年來收集的攻擊鏈資料,就是攻擊者在環境中執行的所有步驟,本質上就像句子,每個事件或行為都是「詞」。因此,是否能像LLM預測語詞一樣,預測攻擊鏈中的下一個事件或行為?答案是肯定的。


Broadcom 的 AI 系統會將每個安全事件轉譯為 768 維度的向量空間(embeddings),並透過向量角度判斷事件相似性。系統將新攻擊事件與龐大的歷史資料庫比對(僅過去六個月,就已收集超過 50 萬條攻擊鏈),從而推測攻擊者下一步的行動,並顯示主要行為與發生機率。


Broadcom的AI事件預測主要建立在雲端分析與自適應技術上(見下圖)。

  • 雲端持續接收 Symantec Endpoint Protection 的行為遙測資料,並結合威脅獵捕團隊的情資(IoC 儲存庫)。

  • 經過標記的攻擊鏈,包含 MITRE 標籤、命令列、程序名稱、hash 值等,能形成高精度的「真實資料」。

  • 系統再利用這些資料建立 embeddings,進行比對與預測。

一直以來,隨著網路攻擊型態的改變,企業資安防禦的思維也不斷調整。過去企業總希望能即時偵測、即時阻擋;但因為攻擊方式愈發刁鑽、惡意程式變種難防,許多防禦策略轉而強調「即使入侵,也不能讓駭客帶走資料」。 如今,隨生成式 AI 技術的進展,即時偵測與阻擋的能力再度成為可能。Broadcom 提出,透過 AI 預測駭客下一步攻擊行動,SOC 團隊能夠精確阻斷特定行為,而不必動輒採取全面中斷營運的措施。現在,我們就來談談Symantec如何運用AI做到事件預測(Incident Prediction)。 為何預測至關重要:威脅的演變 生成式 AI 在近幾年成為顯學,但其背後的機器學習技術,其實早已在 Broadcom 產品中應用數十年,包括檔案掃描、行為檢測、檔案信譽評等、沙箱技術等。如今,隨著大型語言模型(LLM)在推測上的精準度大幅提升,Broadcom 將它運用於攻擊事件預測上,也獲得了出乎意料的好結果。 這背後的原因在於:駭客攻擊早已改變。現今攻擊者會利用多種工具,在攻擊鏈中採取多個步驟,頻繁使用「就地取材」(living off the land)工具,如 PowerShell、PsExec,或兩用工具如 AnyDesk、PDQ Deploy。這些工具在合法使用時非常常見,也因此讓傳統資安產品難以辨別是否遭到惡意濫用,成為防禦破口。 更麻煩的是,當資安產品終於偵測並判斷為惡意行為時,往往為時已晚。例如,若偵測到憑證竊取工具 Mimikatz,通常代表攻擊者早已完成該入侵步驟,並準備展開下一階段行動。要真正「快一步」,就必須從被動阻擋,轉向預測駭客的下一步。 精準預測攻擊、精準阻斷惡意行為 不必全面斷網中斷營運 Broadcom Symantec Threat Hunters研發工程師Eric Chien在一場Webinar中指出,Broadcom將AI運用在預測攻擊,靈感來自於大語言模型,如ChatGPT,其能精準預測句子中的下一個詞。而Broadcom多年來收集的攻擊鏈資料,就是攻擊者在環境中執行的所有步驟,本質上就像句子,每個事件或行為都是「詞」。因此,是否能像LLM預測語詞一樣,預測攻擊鏈中的下一個事件或行為? 答案是肯定的。Broadcom 的 AI 系統會將每個安全事件轉譯為 768 維度的向量空間(embeddings),並透過向量角度判斷事件相似性。系統將新攻擊事件與龐大的歷史資料庫比對(僅過去六個月,就已收集超過 50 萬條攻擊鏈),從而推測攻擊者下一步的行動,並顯示主要行為與發生機率。 Broadcom的AI事件預測主要建立在雲端分析與自適應技術上(見下圖)。 雲端持續接收 Symantec Endpoint Protection 的行為遙測資料,並結合威脅獵捕團隊的情資(IoC 儲存庫)。 經過標記的攻擊鏈,包含 MITRE 標籤、命令列、程序名稱、hash 值等,能形成高精度的「真實資料」。 系統再利用這些資料建立 embeddings,進行比對與預測。 Broadcom Symantec AI 事件預測架構:結合雲端分析與自適應防護,讓 SOC 能精準預測並阻斷駭客下一步行動。 圖說:Broadcom Symantec AI 事件預測架構:結合雲端分析與自適應防護,讓 SOC 能精準預測並阻斷駭客下一步行動。 接下來,結果會傳遞給 自適應技術(Adaptive Protection),讓企業可以針對特定環境客製化防護。例如,明確區分哪些情境下的 PowerShell 是正常行為,哪些則必須立刻阻斷。這種精細的調整,讓資安團隊能夠 精準阻斷駭客行為,而不必採取全面斷網的激烈措施。 從概念到落地:Symantec AI 防禦已證實的價值 Symantec 的 AI 預測技術在真實環境中展現了顯著成果: 高準確度:能精準預測80%的事件,不只是擋下駭客先前的惡意行動,而是明確阻絕攻擊者下一步行動。 精準阻斷:SOC團隊資安分析師可根據預測,精確阻斷攻擊者即將採取的特定行為,而非全面關閉機器或隔離網路等措施。這樣能有效中斷攻擊鏈,為事件調查爭取時間,同時避免營運中斷。 行為普遍性判斷:有些兩用工具的行為非常難判斷是否屬於異常,透過自適應技術,系統會告知此行為在企業IT環境中發生的普遍性有多高。若某行為從未被啟動過,就可直接阻擋它,不用擔心對營運產生影響。 輕鬆回復:系統在阻擋駭客以及事件處理完畢後,可透過回復任務,自動讓所有的阻斷動作回復到阻斷前原先的資安政策設定,或回復原先的監控模式。 為小型組織設計:對人員編制有限的IT部門或小型SOC團隊來說,更需要透過此一鍵式操作來快速應對威脅,無需複雜的威脅情報收集與預測能力。它提供高可信度的警報和精細控制,不需要太多的IT人力。 從偵測到主動:AI 防禦的新一步 研究顯示,AI 不僅可能被駭客用來自動化攻擊,也能成為資安團隊的「主動式武器」。Symantec 預期,下一個階段將是讓過去需要人工操作的阻斷行為自動化,讓 AI 在安全框架下即時執行防護政策。 這代表 SOC 團隊不必再等到攻擊完成才介入,而是能更快、更精準地阻斷駭客行動,避免不必要的停機與營運損害。這正是資安從「偵測」走向「主動」的關鍵轉折點。 在眾多解決方案中,Symantec 的差異化優勢格外明顯: 最完整的全球威脅情報與端點資料,確保 AI 判斷更準確; 結合雲端與自適應的防護架構,能因應不同環境動態調整; 兼顧大型 SOC 與中小企業的操作設計,簡化流程卻不犧牲防禦力。 👉 這就是 Symantec AI 帶來的真正差異: 不只是守住,而是先發制人。讓企業得以從「事後偵測」跨入「主動防禦」,在威脅發生之前就搶占先機。


圖說:Broadcom Symantec AI 事件預測架構:結合雲端分析與自適應防護,讓 SOC 能精準預測並阻斷駭客下一步行動。


接下來,結果會傳遞給 自適應技術(Adaptive Protection),讓企業可以針對特定環境客製化防護。例如,明確區分哪些情境下的 PowerShell 是正常行為,哪些則必須立刻阻斷。這種精細的調整,讓資安團隊能夠 精準阻斷駭客行為,而不必採取全面斷網的激烈措施。


從概念到落地:Symantec AI 防禦已證實的價值

Symantec 的 AI 預測技術在真實環境中展現了顯著成果:

  • 高準確度:能精準預測80%的事件,不只是擋下駭客先前的惡意行動,而是明確阻絕攻擊者下一步行動。

  • 精準阻斷:SOC團隊資安分析師可根據預測,精確阻斷攻擊者即將採取的特定行為,而非全面關閉機器或隔離網路等措施。這樣能有效中斷攻擊鏈,為事件調查爭取時間,同時避免營運中斷。

  • 行為普遍性判斷:有些兩用工具的行為非常難判斷是否屬於異常,透過自適應技術,系統會告知此行為在企業IT環境中發生的普遍性有多高。若某行為從未被啟動過,就可直接阻擋它,不用擔心對營運產生影響。

  • 輕鬆回復:系統在阻擋駭客以及事件處理完畢後,可透過回復任務,自動讓所有的阻斷動作回復到阻斷前原先的資安政策設定,或回復原先的監控模式。

  • 為小型組織設計:對人員編制有限的IT部門或小型SOC團隊來說,更需要透過此一鍵式操作來快速應對威脅,無需複雜的威脅情報收集與預測能力。它提供高可信度的警報和精細控制,不需要太多的IT人力。


從偵測到主動:AI 防禦的新一步

研究顯示,AI 不僅可能被駭客用來自動化攻擊,也能成為資安團隊的「主動式武器」。Symantec 預期,下一個階段將是讓過去需要人工操作的阻斷行為自動化,讓 AI 在安全框架下即時執行防護政策。


這代表 SOC 團隊不必再等到攻擊完成才介入,而是能更快、更精準地阻斷駭客行動,避免不必要的停機與營運損害。這正是資安從「偵測」走向「主動」的關鍵轉折點。


在眾多解決方案中,Symantec 的差異化優勢格外明顯:

  • 最完整的全球威脅情報與端點資料,確保 AI 判斷更準確;

  • 結合雲端與自適應的防護架構,能因應不同環境動態調整;

  • 兼顧大型 SOC 與中小企業的操作設計,簡化流程卻不犧牲防禦力。

👉 這就是 Symantec AI 帶來的真正差異:不只是守住,而是先發制人。讓企業得以從「事後偵測」跨入「主動防禦」,在威脅發生之前就搶占先機。

留言

WESTCON LOGO

Partner Success. It’s what we do.

symantec.tw@westcon.com

02-8751-8026

Taiwan 台北
10560 台北市松山區光復北路112號3樓


3F., No. 112, Guangfu N. Rd.,

Songshan Dist.,Taipei City 105035, Taiwan (R.O.C.)

訂閱中文電子報

Thanks for subscribing!

Taiwan 台中
40865 台中市南屯區文心路一段218號23樓 2318 室

Rm. 2318, 23F.,No. 218, Sec. 1,Wenxin Rd.,
Nantun Dist.,Taichung City 40865, Taiwan (R.O.C.)

© 2025 Westcon Taiwan

隱私權與COOKIE保護政策

Taiwan 高雄
81369 高雄市左營區博愛四路2號3F-2

3F.-2, No. 2, Bo'ai 4th Rd.,Zuoying Dist.,
Kaohsiung City 81369 , Taiwan (R.O.C.)

bottom of page