5月25日,由微步在線發起的『CSOP 2023網絡安全運營與實戰大會』在北京舉行。
作為對CTIC網絡安全分析與情報大會的延續和全新升級,大會以『新威脅 新安全』為主題,邀請權威專家學者以及來自金融、能源、制造、互聯網等熱門行業安全負責人現身說法,在新威脅與新安全的攻防博弈中,共探面向實戰化的安全建設和運營之道。
新威脅驅動新安全 監管及需求關注點已從合規轉向實戰
微步創始人兼CEO薛鋒在大會現場做了題為《安全運營的第一性原理》主題演講,薛鋒認為,當前國內網絡安全在攻擊側和需求側發生新變化,網絡安全模式和產業出現相應新特征,網絡安全建設和運營從基礎建設和合規導向逐漸過渡為效果導向,網絡安全技術、產品和解決方案註定要走向自動化、雲化、實戰化和訂閱化;但無論網絡安全的需求和模式如何變化,安全運營始終保有其第一性原理,安全從業者要擁抱新技術、應對新變化,需要處理好風險、資產、威脅等網絡安全運營三要素,不斷探索大數據、威脅情報、AI大模型等新技術在網絡安全運營中的落地應用。
盡管5G、IoT、雲等並非近年來誕生的新興技術,但它們及伴生的相關場景在此前三年中發展迅猛,並帶動基礎設施發生了巨大的變化,同時也為安全帶來了諸多新的挑戰。
其中比較典型的如辦公場景,遠程或混合辦公模式的廣泛采用導致此前傳統辦公模式下的眾多安全措施成為虛設。
同時,監管層面也在發生著變化。
行業級、區域級乃至國家級攻防演練活動都已經或正在形成常態化,充分體現出在近幾年網絡威脅形勢日趨嚴峻的情況下,監管層面的關注點開始從面向合規轉變為面向實戰和效果。
此外,隨著企業數字化的升級,企業的雲上資產數據爆炸式增長,導致用戶的需求也在發生轉變,註重效果、註重發現、註重運營、註重實戰成為新的特點。
作為攻防對抗中的一分子,攻擊者的變化同樣不能忽視,它主要體現在三點:首先是攻擊技術平民化,一些技術水平較低的不法分子通過利用制作好的攻擊工具就可以發起對各類目標的無差別攻擊;其次是加密貨幣和暗網的流行,在很大程度上刺激了那些以獲利為目的的網絡犯罪分子不斷推陳出新,如勒索軟件攻擊從最早的加密數據擴展到竊取數據、泄露數據等多重勒索攻擊,以達到索取更高贖金的目的,讓受害用戶承受包括資金損失、信譽損失、合規損失等諸多嚴重後果。
面對監管側、需求側和挑戰側的全新安全形勢,作為防守的一側,安全行業同時也在相應地做出調整和改變。
首先是安全技術的變化。
以往的安全技術更多是基於規則、特征的匹配,而現在則開始向數據化轉變,以微步在線為例,其情報數據與企業自身所采集的安全相關數據結合匹配,經過精準的數據分析去發現、定位問題,通過這種數據化思路所能取得的安全成效要顯著優於此前的傳統思路。
其次是安全載體的變化。
安全能力雲化已經成為當前安全行業的主流趨勢之一,相比傳統安全建設更多是依靠堆砌安全設備的方式去完成,雲化所帶來的數據、算力優勢是顯而易見的,同時在用戶一側的部署和應用方面也同樣具備極大優勢。
第三是服務模式的變化。
據薛鋒介紹,微步在線一直都堅持認為將安全能力以盒子這種方式交付且一次性買斷的模式並非對客戶最有利的,以訂閱服務的方式去交付安全能力才是對雙方更有價值的模式,因其將選擇權真正交給了客戶。
於是,微步在線於2017年就成立了客戶成功團隊,也是國內最早擁有此類團隊的安全企業。
『選擇訂閱模式的確給微步在線帶來了一定的壓力,但同時我們也堅持將其視作一種動力』薛鋒在發言中談道,『在這種壓力之下,我們會有一種如履薄冰的緊迫感,促使我們必須要去持續地創造、持續地創新,以能夠持續地為客戶創造價值,為客戶交付價值』
其實這並不難理解,在以往一次性買斷的模式下,用戶更換供應商或產品的周期短則一兩年,長則三五年,而在訂閱模式下,用戶可以在每年甚至每個月都選擇放棄與供應商的合作,這樣一看,哪種模式對創新的驅動力更強,對用戶更為有利是顯而易見的。
因此薛鋒更是堅持認為,訂閱模式一定會是安全行業未來的主流模式。
數據+情報+ AI 是構成安全GPT大模型的三大關鍵要素
值得重點關注的是,薛鋒在其演講最後演示了微步旗下X情報社區全新上線的安全GPT應用,分享了微步在線在安全AI和GPT技術方面的探索和實踐。
據介紹,微步在線已經面向社區開放上線這一功能,所有社區用戶都可申請使用,來進一步體驗安全GPT為行業帶來的變革。
展望安全GPT的未來,薛鋒認為數據、情報和AI技術會極大提升網絡安全運營的自動化、實戰化能力,助力網絡安全運營走向『自動駕駛』時代。
在會後的交流環節中,圍繞微步在線對安全GPT的落地應用實踐,以及在這一領域的未來規劃,我們邀請薛鋒做了進一步地分享自己的觀察和理解。
近兩個月來,隨著ChatGPT的第一波熱潮退去,人們也逐漸回歸理性,愈來愈多的人開始注意到類GPT大模型的局限性。
盡管大型語言模型功能強大,但面對自己的知識盲區時,經常會生成一些不準確、誤導或明顯錯誤的信息。
而在網絡安全領域類GPT大模型的應用實際要更加謹慎,一旦發生大模型『亂編』的現象,或將引發十分嚴重的後果。
薛鋒談到,在過去的數個月的時間裡,ChatGPT迅速爆紅,引起了各個行業的廣泛關注。
但很快,微軟Office Copilot、谷歌Bird、Chat GLM等大模型應用像雨後春筍一樣接連問世讓大家認識到,做安全行業GPT研究,不應該過於追求基礎模型的本身的創新,雖然大模型很重要,但在安全行業中對專業知識、專業場景的理解顯然更加重要。
他認為,類GPT大模型在一定程度上改變安全行業已是大概率事件,但當然行業應用類GPT大模型仍然處於相對早期,現在仍然看不到未來的終局。
同時薛鋒提出了自己的觀點:『數據+情報+ AI =安全GPT』,數據隻是勞動的對象,而情報和AI基礎模型則是加工和處理數據的工具和手段,因此,唯有大規模的數據量級疊加威脅情報技術和AI技術,才有可能孕育出一個真正好用的安全GPT模型。
『在我看來,GPT在更多意義上應該定位為輔助角色,幫助安全人員分析推理,針對木馬病毒的檢測和研判並非GPT所長。
檢測最終仍然要依賴於專業的引擎和工具來實現,通過規則的方式來區別黑和白』薛鋒表示,當前的類GPT大模型雖然已經能夠很好地理解人們所表達的意圖,並重新組織語言復述出來。
但顯然,驅動GPT來分析一段代碼是否存在木馬病毒這件事情還為時尚早。
數據與威脅情報能力 或將成為安全GPT的核心壁壘
回到前文提到的類GPT大模型生成誤導性結果的話題,薛鋒認為,數據與威脅情報技術或將成為構建安全GPT壁壘的關鍵。
『回到數據和情報本身,假如你的情報不準確、檢測能力不準確,那麼GPT學習的數據樣本本身就是錯誤的。
即使它生成了一大篇看似專業的分析報告,但通篇錯漏百出的話,這種結果不應該發生在網絡安全領域』
因此薛鋒認為,任何想要打造安全GPT的安全廠商都應該思考自身是否擁有這三點核心能力:是否擅長基礎模型的訓練、是否掌握足夠量級的大數據以及是否擁有精準的威脅情報技術。
他介紹,作為業內威脅情報領域的一流安全廠商,微步在線本身積累了大量的安全大數據和威脅情報技術,過去微步是人工把數據進行充分的咀嚼和分析,以一種能夠更好地理解上下文的方式賦能給用戶。
而當前在做的事情,是要將這些數據通過威脅情報技術打上標簽,讓安全大模型自己來理解後再講出來告訴用戶。
因此,在構成安全GPT的三大要素中,在AI基礎模型上,所有安全廠商都站在同一起跑線前,但在數據與威脅情報上,微步在線則已經搶占了先發優勢。
據薛鋒透露,目前微步的機器學習技術已經成熟應用於文件查殺等領域,如對Windows環境的PE文件和Linux環境的ELF文件進行查殺,檢出率可達97%—98%,同時誤報率低至0.005%和0.002%。
在微步在線的演示中也能夠清晰地看到,在AI和威脅情報的賦能下,微步在線X情報社區的安全GPT功能已經能夠幫助用戶自動化判定可疑IP和相關攻擊事件,極大地提升了安全分析的效率,降低了安全運營工作技術門檻。
薛鋒表示,『我們今天演示的隻是不到1/10的安全GPT,大模型在安全的應用是一場萬裡長征,目前才剛剛開始。
但我們已經驚喜地看到,這十分之一的變化已經為每天的安全運營工作帶來了大量的突破和創新。
安全GPT的未來值得每一個人憧憬和期待,微步在線也將與用戶們一起迎來‘自動駕駛’安全運營的時代』