2023年安全运营之风将吹向何方?

科技云报道原创。

在实战演练成为常态化的背景下,建立实战化安全运营能力是一个绕不开的话题。作为网络安全发展的时代产物,安全运营被认为是解决现有挑战的有利方法。

但随着有安全形势、政策导向、发展需求的变化,安全运营的理念也在不断演进,每一年都有新的技术和方法来优化安全运营的持续性能力输出。

近日,在2023网络安全运营与实战大会(原网络安全分析与情报大会)上,十余位来自政务、能源、金融、制造等行业安全负责人和网络安全专家,围绕威胁情报落地应用、攻防演练能力提升、实战化安全运营体系搭建三大议题分享了最新观点。

作为大会发起和主办方之一,微步在线创始人兼CEO薛锋也发表了“安全运营的第一性原理”的观点。

面对如此多的新形势、新技术,2023年的安全运营之风将吹向何方?

安全运营面临四大挑战

近年来,网络安全形势、法律法规的不断变化,都推动着企业安全建设需求的变化。如今企业需要的安全已不再只是合规,而是能够不断自我迭代优化、演进、提供持续性能力输出的安全运营保障体系。

这种变化主要来源于以下四大挑战:

第一,IT基础设施的变化。

随着云计算、5G、loT等技术的快速发展,IT基础设施的形态和应用发生了剧变,大量涌现的云应用、远程办公模式等,为企业网络安全打开了巨大的风险敞口。

第二,监管要求的变化。

等保2.0、数据安全法、网络安全法等法规制度不断出台,促使我国的安全顶层设计逐步完善,监管要求也不再是以前的合规建设,而是对安全效果的强监督。

第三,攻击者的变化。

随着自动化工具和AI技术的普及,很多军用技术民用化,使得更多的攻击者开始采用高级攻击手段,攻击成本也变得越来越低,这种技术层面的飞跃对于企业安全防护而言,是一个巨大的挑战。

第四,企业数字化转型的变化。

随着企业数字化程度发展到一定阶段,线上资产越来越多,要保护的资产数量大幅增长,因此更加注重安全效果、注重安全运营成为一种必然趋势。

安全运营需保有第一性原理

事实上,新的挑战也为安全运营实际工作带来了新的问题,企业必须思考如何应对这些纷繁复杂的安全挑战。

在微步在线创始人兼CEO薛锋看来,无论网络安全的需求如何变化,安全运营始终保有其第一性原理。

所谓第一性原理,就是一种刨根问底、追究最原始假设和最根本性规律的思维习惯,通过回到源头、从源头开始重新出发来创建新的解决方案。

薛锋认为,遵从安全运营第一性原理,安全从业者始终需要处理好网络安全运营的三要素——资产、风险、威胁。

先说资产。

企业所拥有的一切设备、信息、应用等资产都可能被潜在攻击者利用,无论是硬件设备还是云主机、操作系统、IP地址、端口、证书、域名、应用、API等。由于资产涉及的覆盖面特别广、变化快以及影子资产的隐蔽性,给企业资产管理安全运营带来了巨大的挑战。

为此,业界推出了攻击面管理的概念,包括暴露面资产全面发现、资产脆弱性风险识别、多源数据融合分析、专项暴露面收敛等,为的就是解决“你无法保护你看不见的东西”的问题。

但是攻击面梳理其实是一件非常复杂的事情。例如,全员安全意识很难大幅提升,攻击者即使是通过一封钓鱼邮件都有可能攻入企业内网,在这种情况下,人员资产就变成了最大的攻击面,这是通过工具也很难检测出来的。

再说风险。

对于风险,大家普遍的认知是关于漏洞。CNVD公开数据显示,2022年共披露安全漏洞23900+枚,其中中高危漏洞占比近89%。如此风险程度的漏洞一旦被攻击者利用,会给企业组织带来毁灭性打击。

除了已知漏洞,攻击者也开始大量使用0day漏洞。数据显示,2021年以来,0day漏洞攻击呈爆发趋势,在野利用的0day/1day漏洞数量超过70个,这在网络安全历史上是前所未见的。

漏洞数量占比逐渐攀升主要原因,无外乎企业安全能力难以匹配黑客技术迭代和应用设备部署的数量,种种因素叠加,造成当下漏洞数量、修补难度、危害程度和影响范围都逐渐增长的现状。

面对如此多的漏洞,如何检测、排查?是全部修复,还是按优先级修复?面对海量告警,如何判断哪些漏洞攻击是真正成功的?这些都是安全运营工作日常所面临的难题。

最后说威胁。

近年来,APT、挖矿、勒索、钓鱼等新型威胁不断涌现,高级攻击手法、复合型攻击层出不穷,非常难以防范。

据微步在线掌握的数据统计和推测,政府高校、科研院所已经是APT攻击重载区,全国范围内今天同一时刻正在被APT控制的单位,可能有几百家到几千家,而这些趋势将延续至新的一年。

面对资产、风险、威胁的种种变化,光凭人力去对抗已经力不从心。考虑到网安人才缺口大的现状,企业想单纯依靠安全专家来解决安全运营的问题,显然也不现实。

在这种情况下,安全想要赶上业务发展速度和攻击者的速度,就不能再依靠人工操作,而是必须借助自动化,用机器速度来对抗机器速度。因此,自动化的安全运营成为理想的解决方案。

随着AI技术的演进,安全运营的自动化正在从传统的机械式自动化,向AI加持的智能自动化、认知自动化,甚至是超自动化的方向演进。当下以ChatGPT为代表的AI大模型技术,正在为安全运营的自动化带来新的革命。

AI大模型让安全运营走向新时代

目前,AI大模型在网络安全领域的最佳应用场景几乎都来自安全运营,涵盖了从事件检测、调查、响应到汇报的各个环节。

微软在2023年3月底抢先发布了基于AI大模型(GPT4)的SecurityCopilot(安全副驾),为用户提供了一个安全运营智能助理。发布会上,微软演示了3个应用AI大模型的安全运营场景,分别是基于Prompt的威胁猎捕、事件响应和出具安全报告。

在2023 RSAC大会上,谷歌发布了基于安全领域专用的LLM(称作“Sec-PaLM”)的GoogleCloud Security AI Workbench(谷歌云安全AI工作台),赋能客户、伙伴和自身的安全产品,实现智能化安全运营。

主要应用场景包括基于AI的恶意代码检测,生成情报洞察摘要报告,基于自然语言的事件查询与调查,智能化检测规则生成,以及基于AI大模型的事件摘要和攻击图摘要说明。

同样,在2023 RSAC大会上,SentinelOne也推出了自己的安全专用AI大模型——Purple AI,通过基于自然语言的多轮对话形式,协助用户进行威胁猎捕、分析与响应。

5月25日,在2023 CSOP网络安全运营与实战大会上,微步在线也展示了多项AI技术以及时下热门的“安全GPT”初步应用成果。

据薛锋透露,目前微步在线的机器学习技术已经成熟应用于文件查杀等领域,如对Windows环境的PE文件和Linux环境的ELF文件进行查杀,检出率可达97%-98%,同时误报率低至0.005%和0.002%。

微步在线的安全GPT技术应用,可以帮助企业安全运营人员对相关威胁情报进行智能化归集汇总,以便快速找到分析切入的视角和线索,做出更明智的决策,提高工作效率,进而实现对风险的有效管控。

同时,薛锋对安全GPT技术的应用前景表示了极大的认可,“我们演示的只是不到1/10的安全GPT,大模型在安全的应用是一场万里长征,目前才刚刚开始。”

展望安全GPT的未来,薛锋认为数据、威胁情报(TI)和AI技术会极大提升网络安全运营的自动化、实战化能力,“数据+TI+AI”将助力网络安全运营从“辅助驾驶”走向“自动驾驶”时代。

微步在线创始人兼CEO薛锋

可以肯定的是,专门面向安全领域的AI大模型对安全运营必将产生深远的影响,正如微软安全业务的副总裁Vasu Jakkal在《Defending at Machine Speed》演讲时所说,“AI应用于安全的拐点已来”。因此,在战略层面要高度重视AI大模型。

但在战术层面,企业必须清醒地认识到,当前AI大模型技术在安全运营领域的应用还比较初级,应充分挖掘可以发挥AI大模型基本特长的安全运营应用场景。而在AI大模型进一步突破之前,现阶段的分析型AI依然还有用武之地。

免责声明:此文内容为第三方自媒体作者发布的观察或评论性文章,所有文字和图片版权归作者所有,且仅代表作者个人观点,与极客网无关。文章仅供读者参考,并请自行核实相关内容。投诉邮箱:editor@fromgeek.com。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2023-05-29
2023年安全运营之风将吹向何方?
科技云报道原创。在实战演练成为常态化的背景下,建立实战化安全运营能力是一个绕不开的话题。作为网络安全发展的时代产物,安全运营被认为是解决现有挑战的有利方法。但随着有安全形势、政策导向、发展需求的变化,安全运营的理念也在不断演进,每一年都有新的技术和方法来优化安全...

长按扫码 阅读全文