您现在的位置是:首页 > IT基础架构 > 网络与安全 >
数据+情报+AI让安全运营走向“自动驾驶”
2023-05-29 13:43:44作者:路沙 来源:信息主管网
摘要日前,以“新威胁·新安全”为主题的2023网络安全运营与实战大会(原网络安全分析与情报大会)成功召开。会上,微步在线的创始人兼CEO 薛锋发表了《安全运营的第一性原理》的主题演讲。...
日前,以“新威胁·新安全”为主题的2023网络安全运营与实战大会(原网络安全分析与情报大会)成功召开。会上,微步在线的创始人兼CEO 薛锋发表了《安全运营的第一性原理》的主题演讲。
近年来,在实战演练成为常态化的背景下,政企安全建设和运营指导思路发生变化,逐渐认识到网络安全防护体系建设是长期、持续的系统性工程,因而开始注重建立实战化安全运营能力。
网络安全防护模式发生新的变革
随着技术的演进和需求的变化,行业内愈发觉得今天的“网络安全”已经与之前的“网络安全”迥然不同。薛锋表示,从技术原理上看,基于规则和特征的网络安全防护原则已经沿袭几十年,这一时期行业注重的是基础安全防护和合规建设。时至今日,行业内更关注的则是网络安全运营与实战。
综合分析其中的原因,薛锋认为,安全防护模式的变化主要源于四个方面:
第一,IT基础设施的变化。云计算、物联网、5G等技术的快速发展使得以客户管理、远程办公等为代表的SaaS应用大量涌现,在企业IT基础设施发生变化的同时也将导致网络安全防护手段发生变化。
第二,监管要求的变化。现在,监管机构不再单纯要求基于合规的标准化建设,而是更加注重通过网络安全运营和实战演习所呈现出的实际效果。
第三,攻击技术的变化。数字技术的发展不仅加速了企业数字化转型的进程,也为企业安全防护带来了巨大挑战。如今,依托AI等新技术,网络攻击的成本变得越来越低,自动化程度越来越高。
第四,用户需求的变化。企业数字化程度越高,包括数据在内的线上资产就越来越多,为了保障数据安全和生产运营,企业也更加注重通过安全运营和实战提升自身的安全预警及防护能力。
薛锋表示,微步在线于2015年正式成立,其中的关键原因就是发现威胁情报技术在网络攻击事件检测中正发挥越来越重要的作用。“成立伊始,行业内认为威胁情报是一个产品而不是技术。不过,随着威胁情报的深入应用,大家发现态势感知需要情报、EDR(终端防护)需要情报、流量监测也需要情报,它实际上是一个技术,能够改变很多安全产品。”薛锋如此说道。
可以看到,今天的网络安全已经从基于规则和特征的阶段发展到了数据驱动的阶段,企业安全防护开始走向实战化。新的阶段,面临新的威胁,以往靠堆砌软硬件或者盒子来进行网络安全防护的的形式开始不合时宜,这需要网络安全服务模式随之改变。薛锋表示:“在订阅模式下,企业可以根据自身需求选择在任何地点、任何时间用什么或不用什么。因此,存在的问题自然就会迎刃而解,从而真正实现客户成功。”
数据+情报+AI等于安全“GPT”
薛锋表示,资产、风险和威胁是网络安全防护绕不开的三个关键因素。资产的多少关乎攻击面的大小,因此,攻击面梳理是一项非常重要的工作;基于漏洞的网络攻击危害巨大,需要相应技术进行“查漏补缺”;勒索软件、钓鱼软件、挖矿软件、APT(可持续威胁攻击)等网络攻击形式层出不穷,网络威胁无处不在。
资产、风险、威胁三要素所衍生出的网络安全风险众多,如何解决这些问题?在薛锋看来,网络安全实际上就是人与人之间的对抗,面对网络安全人才缺乏的问题,只有通过以AI为代表的技术应用才能有效防范网络安全风险的产生。
在传统AI应用上,微步在线进行了广泛探索和实践,并且取得了一些成绩。例如,可以在Windows PE文件和Linux ELF文件下实现约98%的检出率;在图数据库和AI双重支持下,可以快速分析可疑对象,并做出关联分析和拓线等。
除了传统AI应用,微步在线还在大模型应用上做了一些尝试和创新。薛锋表示,微步在线基于安全GPT的技术应用,可以帮助企业安全运营人员对相关威胁情报进行智能化归集汇总,以便快速找到分析切入的视角和线索,做出更明智的决策,提高工作效率,进而实现对风险的有效管控。“以数据为基础、以威胁情报(TI)为核心、以人工智能(AI)为驱动,‘数据+TI+AI’将助力安全运营走向‘自动驾驶’。”薛锋如是说。
网络安全防护模式发生新的变革
随着技术的演进和需求的变化,行业内愈发觉得今天的“网络安全”已经与之前的“网络安全”迥然不同。薛锋表示,从技术原理上看,基于规则和特征的网络安全防护原则已经沿袭几十年,这一时期行业注重的是基础安全防护和合规建设。时至今日,行业内更关注的则是网络安全运营与实战。
综合分析其中的原因,薛锋认为,安全防护模式的变化主要源于四个方面:
第一,IT基础设施的变化。云计算、物联网、5G等技术的快速发展使得以客户管理、远程办公等为代表的SaaS应用大量涌现,在企业IT基础设施发生变化的同时也将导致网络安全防护手段发生变化。
第二,监管要求的变化。现在,监管机构不再单纯要求基于合规的标准化建设,而是更加注重通过网络安全运营和实战演习所呈现出的实际效果。
第三,攻击技术的变化。数字技术的发展不仅加速了企业数字化转型的进程,也为企业安全防护带来了巨大挑战。如今,依托AI等新技术,网络攻击的成本变得越来越低,自动化程度越来越高。
第四,用户需求的变化。企业数字化程度越高,包括数据在内的线上资产就越来越多,为了保障数据安全和生产运营,企业也更加注重通过安全运营和实战提升自身的安全预警及防护能力。
薛锋表示,微步在线于2015年正式成立,其中的关键原因就是发现威胁情报技术在网络攻击事件检测中正发挥越来越重要的作用。“成立伊始,行业内认为威胁情报是一个产品而不是技术。不过,随着威胁情报的深入应用,大家发现态势感知需要情报、EDR(终端防护)需要情报、流量监测也需要情报,它实际上是一个技术,能够改变很多安全产品。”薛锋如此说道。
可以看到,今天的网络安全已经从基于规则和特征的阶段发展到了数据驱动的阶段,企业安全防护开始走向实战化。新的阶段,面临新的威胁,以往靠堆砌软硬件或者盒子来进行网络安全防护的的形式开始不合时宜,这需要网络安全服务模式随之改变。薛锋表示:“在订阅模式下,企业可以根据自身需求选择在任何地点、任何时间用什么或不用什么。因此,存在的问题自然就会迎刃而解,从而真正实现客户成功。”
数据+情报+AI等于安全“GPT”
薛锋表示,资产、风险和威胁是网络安全防护绕不开的三个关键因素。资产的多少关乎攻击面的大小,因此,攻击面梳理是一项非常重要的工作;基于漏洞的网络攻击危害巨大,需要相应技术进行“查漏补缺”;勒索软件、钓鱼软件、挖矿软件、APT(可持续威胁攻击)等网络攻击形式层出不穷,网络威胁无处不在。
资产、风险、威胁三要素所衍生出的网络安全风险众多,如何解决这些问题?在薛锋看来,网络安全实际上就是人与人之间的对抗,面对网络安全人才缺乏的问题,只有通过以AI为代表的技术应用才能有效防范网络安全风险的产生。
在传统AI应用上,微步在线进行了广泛探索和实践,并且取得了一些成绩。例如,可以在Windows PE文件和Linux ELF文件下实现约98%的检出率;在图数据库和AI双重支持下,可以快速分析可疑对象,并做出关联分析和拓线等。
除了传统AI应用,微步在线还在大模型应用上做了一些尝试和创新。薛锋表示,微步在线基于安全GPT的技术应用,可以帮助企业安全运营人员对相关威胁情报进行智能化归集汇总,以便快速找到分析切入的视角和线索,做出更明智的决策,提高工作效率,进而实现对风险的有效管控。“以数据为基础、以威胁情报(TI)为核心、以人工智能(AI)为驱动,‘数据+TI+AI’将助力安全运营走向‘自动驾驶’。”薛锋如是说。
(本文不涉密)
责任编辑:路沙