本文来自微信公众号“科技云报到”。
在实战演练成为常态化的背景下,建立实战化安全运营能力是一个绕不开的话题。作为网络安全发展的时代产物,安全运营被认为是解决现有挑战的有利方法。
但随着有安全形势、政策导向、发展需求的变化,安全运营的理念也在不断演进,每一年都有新的技术和方法来优化安全运营的持续性能力输出。
近日,在2023网络安全运营与实战大会(原网络安全分析与情报大会)上,十余位来自政务、能源、金融、制造等行业安全负责人和网络安全专家,围绕威胁情报落地应用、攻防演练能力提升、实战化安全运营体系搭建三大议题分享了最新观点。
作为大会发起和主办方之一,微步在线创始人兼CEO薛锋也发表了“安全运营的第一性原理”的观点。
面对如此多的新形势、新技术,2023年的安全运营之风将吹向何方?
安全运营面临四大挑战
近年来,网络安全形势、法律法规的不断变化,都推动着企业安全建设需求的变化。如今企业需要的安全已不再只是合规,而是能够不断自我迭代优化、演进、提供持续性能力输出的安全运营保障体系。
这种变化主要来源于以下四大挑战:
第一,IT基础设施的变化。
随着云计算、5G、loT等技术的快速发展,IT基础设施的形态和应用发生了剧变,大量涌现的云应用、远程办公模式等,为企业网络安全打开了巨大的风险敞口。
第二,监管要求的变化。
等保2.0、数据安全法、网络安全法等法规制度不断出台,促使我国的安全顶层设计逐步完善,监管要求也不再是以前的合规建设,而是对安全效果的强监督。
第三,攻击者的变化。
随着自动化工具和AI技术的普及,很多军用技术民用化,使得更多的攻击者开始采用高级攻击手段,攻击成本也变得越来越低,这种技术层面的飞跃对于企业安全防护而言,是一个巨大的挑战。
第四,企业数字化转型的变化。
随着企业数字化程度发展到一定阶段,线上资产越来越多,要保护的资产数量大幅增长,因此更加注重安全效果、注重安全运营成为一种必然趋势。
安全运营
需保有第一性原理
事实上,新的挑战也为安全运营实际工作带来了新的问题,企业必须思考如何应对这些纷繁复杂的安全挑战。
在微步在线创始人兼CEO薛锋看来,无论网络安全的需求如何变化,安全运营始终保有其第一性原理。
所谓第一性原理,就是一种刨根问底、追究最原始假设和最根本性规律的思维习惯,通过回到源头、从源头开始重新出发来创建新的解决方案。
薛锋认为,遵从安全运营第一性原理,安全从业者始终需要处理好网络安全运营的三要素——资产、风险、威胁。
先说资产。
企业所拥有的一切设备、信息、应用等资产都可能被潜在攻击者利用,无论是硬件设备还是云主机、操作系统、IP地址、端口、证书、域名、应用、API等。由于资产涉及的覆盖面特别广、变化快以及影子资产的隐蔽性,给企业资产管理安全运营带来了巨大的挑战。
为此,业界推出了攻击面管理的概念,包括暴露面资产全面发现、资产脆弱性风险识别、多源数据融合分析、专项暴露面收敛等,为的就是解决“你无法保护你看不见的东西”的问题。
但是攻击面梳理其实是一件非常复杂的事情。例如,全员安全意识很难大幅提升,攻击者即使是通过一封钓鱼邮件都有可能攻入企业内网,在这种情况下,人员资产就变成了最大的攻击面,这是通过工具也很难检测出来的。
再说风险。
对于风险,大家普遍的认知是关于漏洞。CNVD公开数据显示,2022年共披露安全漏洞23900+枚,其中中高危漏洞占比近89%。如此风险程度的漏洞一旦被攻击者利用,会给企业组织带来毁灭性打击。
除了已知漏洞,攻击者也开始大量使用0day漏洞。数据显示,2021年以来,0day漏洞攻击呈爆发趋势,在野利用的0day/1day漏洞数量超过70个,这在网络安全历史上是前所未见的。
漏洞数量占比逐渐攀升主要原因,无外乎企业安全能力难以匹配黑客技术迭代和应用设备部署的数量,种种因素叠加,造成当下漏洞数量、修补难度、危害程度和影响范围都逐渐增长的现状。
面对如此多的漏洞,如何检测、排查?是全部修复,还是按优先级修复?面对海量告警,如何判断哪些漏洞攻击是真正成功的?这些都是安全运营工作日常所面临的难题。
最后说威胁。
近年来,APT、挖矿、勒索、钓鱼等新型威胁不断涌现,高级攻击手法、复合型攻击层出不穷,非常难以防范。
据微步在线掌握的数据统计和推测,政府高校、科研院所已经是APT攻击重载区,全国范围内今天同一时刻正在被APT控制的单位,可能有几百家到几千家,而这些趋势将延续至新的一年。
面对资产、风险、威胁的种种变化,光凭人力去对抗已经力不从心。考虑到网安人才缺口大的现状,企业想单纯依靠安全专家来解决安全运营的问题,显然也不现实。
在这种情况下,安全想要赶上业务发展速度和攻击者的速度,就不能再依靠人工操作,而是必须借助自动化,用机器速度来对抗机器速度。因此,自动化的安全运营成为理想的解决方案。
随着AI技术的演进,安全运营的自动化正在从传统的机械式自动化,向AI加持的智能自动化、认知自动化,甚至是超自动化的方向演进。当下以ChatGPT为代表的AI大模型技术,正在为安全运营的自动化带来新的革命。
AI大模型让
安全运营走向新时代
目前,AI大模型在网络安全领域的最佳应用场景几乎都来自安全运营,涵盖了从事件检测、调查、响应到汇报的各个环节。
微软在2023年3月底抢先发布了基于AI大模型(GPT4)的SecurityCopilot(安全副驾),为用户提供了一个安全运营智能助理。发布会上,微软演示了3个应用AI大模型的安全运营场景,分别是基于Prompt的威胁猎捕、事件响应和出具安全报告。
在2023 RSAC大会上,谷歌发布了基于安全领域专用的LLM(称作“Sec-PaLM”)的GoogleCloud Security AI Workbench(谷歌云安全AI工作台),赋能客户、伙伴和自身的安全产品,实现智能化安全运营。
主要应用场景包括基于AI的恶意代码检测,生成情报洞察摘要报告,基于自然语言的事件查询与调查,智能化检测规则生成,以及基于AI大模型的事件摘要和攻击图摘要说明。
同样,在2023 RSAC大会上,SentinelOne也推出了自己的安全专用AI大模型——Purple AI,通过基于自然语言的多轮对话形式,协助用户进行威胁猎捕、分析与响应。
5月25日,在2023 CSOP网络安全运营与实战大会上,微步在线也展示了多项AI技术以及时下热门的“安全GPT”初步应用成果。
据薛锋透露,目前微步在线的机器学习技术已经成熟应用于文件查杀等领域,如对Windows环境的PE文件和Linux环境的ELF文件进行查杀,检出率可达97%-98%,同时误报率低至0.005%和0.002%。
微步在线的安全GPT技术应用,可以帮助企业安全运营人员对相关威胁情报进行智能化归集汇总,以便快速找到分析切入的视角和线索,做出更明智的决策,提高工作效率,进而实现对风险的有效管控。
同时,薛锋对安全GPT技术的应用前景表示了极大的认可,“我们演示的只是不到1/10的安全GPT,大模型在安全的应用是一场万里长征,目前才刚刚开始。”
展望安全GPT的未来,薛锋认为数据、威胁情报(TI)和AI技术会极大提升网络安全运营的自动化、实战化能力,“数据+TI+AI”将助力网络安全运营从“辅助驾驶”走向“自动驾驶”时代。
微步在线创始人兼CEO薛锋
可以肯定的是,专门面向安全领域的AI大模型对安全运营必将产生深远的影响,正如微软安全业务的副总裁Vasu Jakkal在《Defending at Machine Speed》演讲时所说,“AI应用于安全的拐点已来”。因此,在战略层面要高度重视AI大模型。
但在战术层面,企业必须清醒地认识到,当前AI大模型技术在安全运营领域的应用还比较初级,应充分挖掘可以发挥AI大模型基本特长的安全运营应用场景。而在AI大模型进一步突破之前,现阶段的分析型AI依然还有用武之地。