科技云報(bào)道原創(chuàng)。

在實(shí)戰(zhàn)演練成為常態(tài)化的背景下，建立實(shí)戰(zhàn)化安全運(yùn)營能力是一個(gè)繞不開的話題。作為網(wǎng)絡(luò)安全發(fā)展的時(shí)代產(chǎn)物，安全運(yùn)營被認(rèn)為是解決現(xiàn)有挑戰(zhàn)的有利方法。

但隨著有安全形勢(shì)、政策導(dǎo)向、發(fā)展需求的變化，安全運(yùn)營的理念也在不斷演進(jìn)，每一年都有新的技術(shù)和方法來優(yōu)化安全運(yùn)營的持續(xù)性能力輸出。

近日，在2023網(wǎng)絡(luò)安全運(yùn)營與實(shí)戰(zhàn)大會(huì)（原網(wǎng)絡(luò)安全分析與情報(bào)大會(huì)）上，十余位來自政務(wù)、能源、金融、制造等行業(yè)安全負(fù)責(zé)人和網(wǎng)絡(luò)安全專家，圍繞威脅情報(bào)落地應(yīng)用、攻防演練能力提升、實(shí)戰(zhàn)化安全運(yùn)營體系搭建三大議題分享了最新觀點(diǎn)。

作為大會(huì)發(fā)起和主辦方之一，微步在線創(chuàng)始人兼CEO薛鋒也發(fā)表了“安全運(yùn)營的第一性原理”的觀點(diǎn)。

面對(duì)如此多的新形勢(shì)、新技術(shù)，2023年的安全運(yùn)營之風(fēng)將吹向何方？

安全運(yùn)營面臨四大挑戰(zhàn)

近年來，網(wǎng)絡(luò)安全形勢(shì)、法律法規(guī)的不斷變化，都推動(dòng)著企業(yè)安全建設(shè)需求的變化。如今企業(yè)需要的安全已不再只是合規(guī)，而是能夠不斷自我迭代優(yōu)化、演進(jìn)、提供持續(xù)性能力輸出的安全運(yùn)營保障體系。

這種變化主要來源于以下四大挑戰(zhàn)：

第一，IT基礎(chǔ)設(shè)施的變化。

隨著云計(jì)算、5G、loT等技術(shù)的快速發(fā)展，IT基礎(chǔ)設(shè)施的形態(tài)和應(yīng)用發(fā)生了劇變，大量涌現(xiàn)的云應(yīng)用、遠(yuǎn)程辦公模式等，為企業(yè)網(wǎng)絡(luò)安全打開了巨大的風(fēng)險(xiǎn)敞口。

第二，監(jiān)管要求的變化。

等保2.0、數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等法規(guī)制度不斷出臺(tái)，促使我國的安全頂層設(shè)計(jì)逐步完善，監(jiān)管要求也不再是以前的合規(guī)建設(shè)，而是對(duì)安全效果的強(qiáng)監(jiān)督。

第三，攻擊者的變化。

隨著自動(dòng)化工具和AI技術(shù)的普及，很多軍用技術(shù)民用化，使得更多的攻擊者開始采用高級(jí)攻擊手段，攻擊成本也變得越來越低，這種技術(shù)層面的飛躍對(duì)于企業(yè)安全防護(hù)而言，是一個(gè)巨大的挑戰(zhàn)。

第四，企業(yè)數(shù)字化轉(zhuǎn)型的變化。

隨著企業(yè)數(shù)字化程度發(fā)展到一定階段，線上資產(chǎn)越來越多，要保護(hù)的資產(chǎn)數(shù)量大幅增長，因此更加注重安全效果、注重安全運(yùn)營成為一種必然趨勢(shì)。

安全運(yùn)營需保有第一性原理

事實(shí)上，新的挑戰(zhàn)也為安全運(yùn)營實(shí)際工作帶來了新的問題，企業(yè)必須思考如何應(yīng)對(duì)這些紛繁復(fù)雜的安全挑戰(zhàn)。

在微步在線創(chuàng)始人兼CEO薛鋒看來，無論網(wǎng)絡(luò)安全的需求如何變化，安全運(yùn)營始終保有其第一性原理。

所謂第一性原理，就是一種刨根問底、追究最原始假設(shè)和最根本性規(guī)律的思維習(xí)慣，通過回到源頭、從源頭開始重新出發(fā)來創(chuàng)建新的解決方案。

薛鋒認(rèn)為，遵從安全運(yùn)營第一性原理，安全從業(yè)者始終需要處理好網(wǎng)絡(luò)安全運(yùn)營的三要素——資產(chǎn)、風(fēng)險(xiǎn)、威脅。

先說資產(chǎn)。

企業(yè)所擁有的一切設(shè)備、信息、應(yīng)用等資產(chǎn)都可能被潛在攻擊者利用，無論是硬件設(shè)備還是云主機(jī)、操作系統(tǒng)、IP地址、端口、證書、域名、應(yīng)用、API等。由于資產(chǎn)涉及的覆蓋面特別廣、變化快以及影子資產(chǎn)的隱蔽性，給企業(yè)資產(chǎn)管理安全運(yùn)營帶來了巨大的挑戰(zhàn)。

為此，業(yè)界推出了攻擊面管理的概念，包括暴露面資產(chǎn)全面發(fā)現(xiàn)、資產(chǎn)脆弱性風(fēng)險(xiǎn)識(shí)別、多源數(shù)據(jù)融合分析、專項(xiàng)暴露面收斂等，為的就是解決“你無法保護(hù)你看不見的東西”的問題。

但是攻擊面梳理其實(shí)是一件非常復(fù)雜的事情。例如，全員安全意識(shí)很難大幅提升，攻擊者即使是通過一封釣魚郵件都有可能攻入企業(yè)內(nèi)網(wǎng)，在這種情況下，人員資產(chǎn)就變成了最大的攻擊面，這是通過工具也很難檢測(cè)出來的。

再說風(fēng)險(xiǎn)。

對(duì)于風(fēng)險(xiǎn)，大家普遍的認(rèn)知是關(guān)于漏洞。CNVD公開數(shù)據(jù)顯示，2022年共披露安全漏洞23900+枚，其中中高危漏洞占比近89%。如此風(fēng)險(xiǎn)程度的漏洞一旦被攻擊者利用，會(huì)給企業(yè)組織帶來毀滅性打擊。

除了已知漏洞，攻擊者也開始大量使用0day漏洞。數(shù)據(jù)顯示，2021年以來，0day漏洞攻擊呈爆發(fā)趨勢(shì)，在野利用的0day/1day漏洞數(shù)量超過70個(gè)，這在網(wǎng)絡(luò)安全歷史上是前所未見的。

漏洞數(shù)量占比逐漸攀升主要原因，無外乎企業(yè)安全能力難以匹配黑客技術(shù)迭代和應(yīng)用設(shè)備部署的數(shù)量，種種因素疊加，造成當(dāng)下漏洞數(shù)量、修補(bǔ)難度、危害程度和影響范圍都逐漸增長的現(xiàn)狀。

面對(duì)如此多的漏洞，如何檢測(cè)、排查？是全部修復(fù)，還是按優(yōu)先級(jí)修復(fù)？面對(duì)海量告警，如何判斷哪些漏洞攻擊是真正成功的？這些都是安全運(yùn)營工作日常所面臨的難題。

最后說威脅。

近年來，APT、挖礦、勒索、釣魚等新型威脅不斷涌現(xiàn)，高級(jí)攻擊手法、復(fù)合型攻擊層出不窮，非常難以防范。

據(jù)微步在線掌握的數(shù)據(jù)統(tǒng)計(jì)和推測(cè)，政府高校、科研院所已經(jīng)是APT攻擊重載區(qū),全國范圍內(nèi)今天同一時(shí)刻正在被APT控制的單位，可能有幾百家到幾千家，而這些趨勢(shì)將延續(xù)至新的一年。

面對(duì)資產(chǎn)、風(fēng)險(xiǎn)、威脅的種種變化，光憑人力去對(duì)抗已經(jīng)力不從心。考慮到網(wǎng)安人才缺口大的現(xiàn)狀，企業(yè)想單純依靠安全專家來解決安全運(yùn)營的問題，顯然也不現(xiàn)實(shí)。

在這種情況下，安全想要趕上業(yè)務(wù)發(fā)展速度和攻擊者的速度，就不能再依靠人工操作，而是必須借助自動(dòng)化，用機(jī)器速度來對(duì)抗機(jī)器速度。因此，自動(dòng)化的安全運(yùn)營成為理想的解決方案。

隨著AI技術(shù)的演進(jìn)，安全運(yùn)營的自動(dòng)化正在從傳統(tǒng)的機(jī)械式自動(dòng)化，向AI加持的智能自動(dòng)化、認(rèn)知自動(dòng)化，甚至是超自動(dòng)化的方向演進(jìn)。當(dāng)下以ChatGPT為代表的AI大模型技術(shù)，正在為安全運(yùn)營的自動(dòng)化帶來新的革命。

AI大模型讓安全運(yùn)營走向新時(shí)代

目前，AI大模型在網(wǎng)絡(luò)安全領(lǐng)域的最佳應(yīng)用場(chǎng)景幾乎都來自安全運(yùn)營，涵蓋了從事件檢測(cè)、調(diào)查、響應(yīng)到匯報(bào)的各個(gè)環(huán)節(jié)。

微軟在2023年3月底搶先發(fā)布了基于AI大模型（GPT4）的SecurityCopilot（安全副駕），為用戶提供了一個(gè)安全運(yùn)營智能助理。發(fā)布會(huì)上，微軟演示了3個(gè)應(yīng)用AI大模型的安全運(yùn)營場(chǎng)景，分別是基于Prompt的威脅獵捕、事件響應(yīng)和出具安全報(bào)告。

在2023 RSAC大會(huì)上，谷歌發(fā)布了基于安全領(lǐng)域?qū)Ｓ玫腖LM（稱作“Sec-PaLM”）的GoogleCloud Security AI Workbench（谷歌云安全AI工作臺(tái)），賦能客戶、伙伴和自身的安全產(chǎn)品，實(shí)現(xiàn)智能化安全運(yùn)營。

主要應(yīng)用場(chǎng)景包括基于AI的惡意代碼檢測(cè)，生成情報(bào)洞察摘要報(bào)告，基于自然語言的事件查詢與調(diào)查，智能化檢測(cè)規(guī)則生成，以及基于AI大模型的事件摘要和攻擊圖摘要說明。

同樣，在2023 RSAC大會(huì)上，SentinelOne也推出了自己的安全專用AI大模型——Purple AI，通過基于自然語言的多輪對(duì)話形式，協(xié)助用戶進(jìn)行威脅獵捕、分析與響應(yīng)。

5月25日，在2023 CSOP網(wǎng)絡(luò)安全運(yùn)營與實(shí)戰(zhàn)大會(huì)上，微步在線也展示了多項(xiàng)AI技術(shù)以及時(shí)下熱門的“安全GPT”初步應(yīng)用成果。

據(jù)薛鋒透露，目前微步在線的機(jī)器學(xué)習(xí)技術(shù)已經(jīng)成熟應(yīng)用于文件查殺等領(lǐng)域，如對(duì)Windows環(huán)境的PE文件和Linux環(huán)境的ELF文件進(jìn)行查殺，檢出率可達(dá)97%-98%，同時(shí)誤報(bào)率低至0.005%和0.002%。

微步在線的安全GPT技術(shù)應(yīng)用，可以幫助企業(yè)安全運(yùn)營人員對(duì)相關(guān)威脅情報(bào)進(jìn)行智能化歸集匯總，以便快速找到分析切入的視角和線索，做出更明智的決策，提高工作效率，進(jìn)而實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的有效管控。

同時(shí)，薛鋒對(duì)安全GPT技術(shù)的應(yīng)用前景表示了極大的認(rèn)可，“我們演示的只是不到1/10的安全GPT，大模型在安全的應(yīng)用是一場(chǎng)萬里長征，目前才剛剛開始?！?/p>

展望安全GPT的未來，薛鋒認(rèn)為數(shù)據(jù)、威脅情報(bào)（TI）和AI技術(shù)會(huì)極大提升網(wǎng)絡(luò)安全運(yùn)營的自動(dòng)化、實(shí)戰(zhàn)化能力，“數(shù)據(jù)+TI+AI”將助力網(wǎng)絡(luò)安全運(yùn)營從“輔助駕駛”走向“自動(dòng)駕駛”時(shí)代。

微步在線創(chuàng)始人兼CEO薛鋒

可以肯定的是，專門面向安全領(lǐng)域的AI大模型對(duì)安全運(yùn)營必將產(chǎn)生深遠(yuǎn)的影響，正如微軟安全業(yè)務(wù)的副總裁Vasu Jakkal在《Defending at Machine Speed》演講時(shí)所說，“AI應(yīng)用于安全的拐點(diǎn)已來”。因此，在戰(zhàn)略層面要高度重視AI大模型。

但在戰(zhàn)術(shù)層面，企業(yè)必須清醒地認(rèn)識(shí)到，當(dāng)前AI大模型技術(shù)在安全運(yùn)營領(lǐng)域的應(yīng)用還比較初級(jí)，應(yīng)充分挖掘可以發(fā)揮AI大模型基本特長的安全運(yùn)營應(yīng)用場(chǎng)景。而在AI大模型進(jìn)一步突破之前，現(xiàn)階段的分析型AI依然還有用武之地。

【關(guān)于科技云報(bào)道】

專注于原創(chuàng)的企業(yè)級(jí)內(nèi)容行家——科技云報(bào)道。成立于2015年，是前沿企業(yè)級(jí)IT領(lǐng)域Top10媒體。獲工信部權(quán)威認(rèn)可，可信云、全球云計(jì)算大會(huì)官方指定傳播媒體之一。深入原創(chuàng)報(bào)道云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領(lǐng)域。

審核編輯 黃宇