自動導航目錄

第一手實測：Mandiant 工程師如何利用 AI 將威脅偵測速度提升 3 倍

我們在 Mandiant 的 Red Team 演練中觀察到一個趨勢：利用 Google 的 Duet AI 嵌入 Chronicle Security Operations 後，威脅 triage 時間從平均 45 分鐘壓縮到 12 分鐘。這不是魔法，而是將情境化 threat intel 自動跟SIEM log 做關聯的結果。

具體來說，AI 在三大環節發揮作用：

1. 行為分析（Behavior Analytics）：不再是靜態 threshold，而是使用者與實體（UEBA）的 序列模式識別。Mandiant 報告指出，AI 能捕捉到傳統 rule‑based 系統會忽略的 low‑and‑slow 滲透攻擊。
2. 自動化應變（Automated Response）：Chronicle 的 SOAR 能力現在能根據 threat severity score 自動隔離‑ isolate‑contain‑eradicate 的連鎖動作。這解釋了為何 dwell time 能從 16 天降至 10 天。
3. 情資融合（Intelligence Fusion）：Mandiant 的 frontline investigation 數據直接转成 detection content，這意味着你看到的 IoC 是 24‑48 小時內 實際攻擊中用過的，而不是學術paper 上的理論。

實測數據來自 Mandiant Threat Defense 服務：客戶在購買後 90 天內，平均威脅檢測覆蓋率（Detection Coverage）提升 47%，而誤報率（False Positive Rate）反而下降 22%。這证明 AI 不是越多告警越好，而是精準度 densities up。

數據不會說謊：Global median dwell time 十年走過從 205 天到 10 天的跨越

Dwell time — 從入侵到被檢測到的間距 — 是衡量安全成熟度的黃金指標。Mandiant 的長期追蹤數據顯示，2014 年全球 median dwell time 高達 205 天，到 2023 年已經掉到 10 天，整整缩短了 95%。

更重要的是，內部發現（Internal Detection）的比例持續上升。2023 年，內部偵測的全球 median dwell time 僅 9 天，而外部通知（如 FBI 或客戶通報）則需要 42 天。這說明企業安全團隊的主动性正变得越来越關鍵。

Zero‑day 爆炸成長背後的商業模式：Commercial Surveillance Vendors 如何驅動攻擊生態系

Mandiant 2024 報告最令人震惊的數據：在 2023 年所有被活躍利用的漏洞中，70% 是 zero‑day。換句話說，攻擊者根本懒得用已知漏洞，直接上未公開的 exploits。這不是偶然，而是一整個 Commercial Surveillance Vendor（CSV） 產業鏈的結果。

CSV 是什麼？簡單說就是賣間諜軟體給政府的公司。Mandiant attribution 分析顯示：

• 针对 Google 產品與 Android 生態系的 17 個 zero‑day 中，13 個（76%） 來自 CSV
• 瀏覽器與行動裝置漏洞的 zero‑day 使用，超過 60% 可歸因於 CSV
• 平均 Time‑to‑Exploit 從漏洞釋出到野外利用僅 5 天，表示 exploits 已經預先準備好，就等 CVE 發布

這意味著什麼？Zero‑day 不再是國家級黑客的獨門秘器，而是商品化的攻擊武器。企業必須意識到，對手的資源可能來自於政府採購的間諜軟體，這改變了 threat model 的假設。

Ransomware 復甦的暗黑創新：Data‑leak sites 成為標準配備的背後意涵

經歷 2022 年的短暫低潮後，勒索軟體在 2023 年強勢回歸。Mandiant 觀察到两个显著变化：

1. Extortion‑only 模式崛起：越來越多攻擊團體專注於竊取資料與威脅公開（double‑extortion），而非加密系統。這解釋了為何 ransomware dwell time（5 天）比一般入侵（10 天）更短 — 攻擊者不希望被發現後才行動。
2. Data‑leak sites 制度化：專門用來公開受害者資料的網站數量激增 75%。這不是 random，而是勒索as‑a‑service（RaaS）生態系的標準配備，用來施加心理壓力。

值得關注的是，第三方工具（Third‑party Software） 成為新的 attack vector。攻擊者不再直接攻破企業防火牆，而是入侵供應商或 IT 管理工具，借此橫向移動。Mandiant 引用多起案例：攻擊者利用 widely deployed RMM（Remote Monitoring Management）工具作為初始入侵點，這讓防禦者陷入 軟體供應鏈信任困境。

2026 企業行動路線圖：導入 AI‑security 前的 5 項必做功課

看到 Mandiant 報告中 AI 顯著提升 detection 與 response 效率，很多企業會想直接買成套方案。但我們建議先完成以下_check list_，避免买到 mismatch 的解决方案：

1. 確認好自己的 threat model：CSV？State‑sponsored？Ransomware？不同威脅需要不同的 detection content。Mandiant 的 AI Security Consulting 會先做 Threat Landscape Assessment，你應該自己也先盤點。
2. 审计现有 SIEM/SOAR 的数据源：Chronicle 能處理大量 unfiltered logs，但如果你連 AD 與 VPN 的 authentication log 都沒 capture 完整，AI 模型會training 在錯誤的 data 上。
3. 定义 success metrics：不要只看”告警數量”。Mandiant 導入後的關鍵指標是 Mean Time to Contain（MTTC） 與 Detection Coverage %。跟你 management 講清楚這些 KPI。
4. 確保 people 跟得上：AI 不是取代分析師，而是放大其能力。你的 SecOps team 需要被 training 如何 interpret AI‑generated hypotheses，否則會因 trust issues 而忽略寶貴線索。
5. 评估供应商 lock‑in：Mandiant + Google Cloud 整合度雖高，但如果你的環境是 multi‑cloud（AWS + Azure + GCP），得要確認 threat intelligence 能跨平台 sync。Chronicle 支援 multi‑cloud log ingestion，這一點算良心。

具體來說，如果你評估後決定導入，可以透過 Mandiant AI Security Consulting Portfolio 取得：

• Threat‑Informed Defense Workshop — 將 frontline TTPs 轉成 detection rules
• AI‑Ready Data Foundation — 幫你整理 log 結構化，讓 LLM 能有效解析
• Duet AI for SecOps Training — 教你的團隊用 natural language query 做 threat hunting

這些服務已經 productized，不需要像傳統 MSSP 一樣 negotiating SOW 半年才開工。Mandiant 官網有直接 request assessment 的按鈕，適合時程緊的企業。

常見問題 FAQ

Mandian的 AI 安全報告與其他廠商的 threat report 有啥不同？

關鍵在”frontline investigation data”。Mandiant 是少數同時具備 consulting practice（天天在客戶現場應變）與 threat intel 團隊的廠商，報告中的 dwell time、TTPs 都是真實案例的 aggregated 結果，而非單純的 telemetry 統計。

導入 AI 安全工具真的能降低 dwell time 嗎？什麼樣的企業效果最明顯？

根據 Mandiant 客戶数据，dwell time 降低效果最顯著的是 已具備基礎 SecOps 成熟度（至少 Level 2） 的企業。若你連 SIEM 都沒有，先投資 infrastructure 再來談 AI，否則 won’t scale。

零 날 漏洞暴增，補丁策略该怎么調整？

Mandiant 建議將 vulnerability prioritization model 從 CVE score + CVSS 轉向 exploit prediction + threat intel signals。具體：就算是低 CVSS score，若該漏洞的 PoC 已出現在 GitHub 或 dark web forum，就應該 priority patch。