若说当前网络安全行业关注度最高的技术应用方向,非 AI 大模型莫属,网络安全行业也在呼唤 GPT 尽快应用至业务。
随着攻防演练走向实战化,一些新变化在一次次实战演练中日益凸显。技术奔走,当前国内网络安全在攻击侧和需求侧都与以往不同,网络安全模式和产业出现相应新特征,效果导向成为了网络安全建设的落点。目前,网络安全行业已经基本告别了安全基础防护和合规建设,转而将焦点放在了安全运营与实战演练。
企业所面对的风险、资产与威胁,是近年来网络安全运营中变化最明显的部分。技术带来的问题还要靠技术解决,安全从业者还是要拥抱新技术、应对新变化,探索大数据、威胁情报、AI 大模型等新技术在网络安全运营中的落地应用。
(相关资料图)
网络安全对 GPT 的天然需求
为什么市场呼唤安全 GPT?一个重要原因在于安全运营中发生的变化越来越多,大概可以总结为三个主要方面:风险、资产、威胁。
面对风险,演习中经常能够发现:越来越多的攻击开始大量使用 0day。对于软件厂商和用户来说,0day 攻击是危害最大的一类攻击,它被攻击者掌握却未被软件厂商修复,在暴露前对于厂商来说是未知的风险。而现实的传播中存在大量的已知漏洞与未知漏洞,但基于成本、破坏程度等综合考虑,并不是所有的漏洞都必须立即打补丁,也存在并不用打补丁的情况。
如何对已知、未知漏洞进行修补时效上的区分和判定?是不是所有暴露出来的已知漏洞都必须修复?在一个单位面临几千到几十万个攻击中,如何区分真正成功的漏洞攻击?都需要使用技术协助区分。
资产方面,对攻击面的关注成为了新趋势。资产包括了服务、软件、中间件等,甚至人员、供应链等也会成为黑客用来突破的攻击界面。往往企业或单位的体量越大,容易暴露的攻击面也就越多。以学校为例,虽然有很多专业人员与工具进行防范检查,但是每个学生都可被作为攻击面,更现实的情况还有人员安全意识很难大幅提升,导致黑客发个邮件,发个 QQ,可能就会实现欺骗、钓鱼。
说到威胁,古老的攻击方式——钓鱼,现在也钓出许多新花样。钓鱼工具日渐高级,二维码钓鱼、加企业微信钓鱼、发邮件钓鱼、附件钓鱼等等层出不穷,现在钓鱼已经跟过去鱼叉式攻击结合起来,防范难度被迫需要升级。而除了钓鱼攻击之外,还有很多覆盖范围较广、以金钱为主要目的的勒索软件,以及针对性极强的威胁—— APT 攻击,这对国产软件发展也造成了一定威胁。
据 360 发布的《2022 年全球高级持续性威胁(APT)研究报告》,2022 年针对中国发起的攻击活动共涉及 14 个 APT 组织,政府、教育、信息技术、科研和国防军工等 15 个行业领域依然是 APT 组织攻击活动主要的目标领域。此外,在 2022 年 APT 组织针对我国展开的攻击活动目标中,包含我国国产化操作系统和自主软件供应商,显示出了攻击活动瞄准我国自主可控领域发展的趋势。
网络安全形势复杂,而庞大的人才缺口又加剧了这一挑战。多位网络安全企业的高管层曾不同程度向钛媒体 App 表达过网络安全在人才方面的窘迫现状。" 网安人才的缺口至少有几十万,这其中尤为缺少能够解决以上复杂难题的专家。" 微步在线创始人兼 CEO 薛锋对钛媒体 App 表示。
教育部数据也印证了这一判断,据 2022 年 9 月发布的《网络安全人才实战能力白皮书》,到 2027 年,我国网络安全人员缺口将达 327 万,而高校人才培养规模为 3 万 / 年,许多行业面临着网络安全人才缺失的困境。
业界期待 GPT 的到来能在一定程度上缓解网络安全领域的人才压力,此前绿盟科技CTO 叶晓虎也对钛媒体 App 透露,训练好的 GPT 知识储备量可以达到一年级博士生的水平。虽然 GPT 技术在安全的应用也是刚刚开始,但从应用表现来看,通过分析 IP 以及整合相关资料提高安全运营人员和安全分析师的工作效率,这样的变化已经可以给安全运营带来一些突破和创新。
据钛媒体 App 了解,一些网络安全客户也根据使用需求向企业提出了更细节的想法,已经有一些防御者想好了怎么使用安全 GPT,他们甚至希望生成 PPT,直接贴到自己的报告里面。与客户业务进行结合,与高校、用户单位共创,或许是安全 GPT 目前发展的适宜生态。
钛媒体 App 经公开数据整理据钛媒体 App 不完全统计,当前已经有微软、360 集团、绿盟科技、微步在线等多家网络安全公司已经基于大模型推出了对应的 GPT 工具,应用方向不乏安全评估、防御、威胁情报分析处置自动化、安全届智能客服等领域。可以预见的是随着越来越多的安全的企业加入对 GPT 的探索,网络安全运营的自动化、智能化有望进入 " 自动驾驶 " 阶段。
安全 GPT 的智能化潜力
自从大模型出现之后,深度学习等等都变成了 " 传统 AI"。据了解,在传统 AI 应用中,已经可以依靠图数据库和 AI 双重支持,进行关联分析和拓线。据微步在线数据,在 Windows 下的 PE 文件和 Linux 下的 ELF 文件中,传统机器学习查杀可以做到在 97%、98% 检出率的情况下,保持十万分之二,十万分之五的误报率。这种机器学习模型也提高了产出率,只需要几个月时间训练模型以及后续重复训练模型可以做到极高产出。
因此,叠加 GPT 之后,网络安全智能化又进入了一个新阶段。" 使用安全 GPT 的其中一个作用就是分析 IP,后台通过 AI 算法生成对 IP 的判定,提供丰富信息来帮助安全人员做进一步分析和研判,提升分析效率。" 薛锋对钛媒体 App 表示。具体来看,判定内容首先会给出域名类型的结果,再对这个 IP 威胁类型进行进一步分析,包括:它是不是做过扫描、是否发过逻辑邮件,扫描过端口的时间、攻击负载等,更进一步还会有相关背景或恶意关联信息的延伸介绍。
更具体一些的例子比如黑客域名控制,在过去只会得到 " 这是一个远程控制域名 " 的答案,而通过安全 GPT 会得到更多信息:这是个恶意的域名、注册人、注册时间,以及作为命令控制服务器能干什么事情,这个黑客的主要目的等等。
不仅如此,接下来安全 GPT 还会提供简单的应对方法:它会进一步告诉使用者如何防范这种蠕虫;并且还会告诉使用者这个家族可能有超过一千多个木马病毒变种,然后继续关联互联网上曾经报道过这个木马病毒文章的分析和摘要。
但是就目前来看,GPT 在网安行业内的尝试不会像其它行业一样拥有大幅的能效提升,最重要的原因是" 检测 " 这一核心的技术能力无法通过 GPT 准确实现。
GPT 的最终效果是进行推理总结,从而辅助安全分析师、安全运营人员等提升工作效率,它并不擅长做专业的检测和判断。检测要靠专业引擎、专业工具来实现,对于判断是不是病毒这件事情还得依靠上文所提及的传统 AI,利用深度学习或者它写的规则进行判定;而 GPT 在这个判定过程中容易根据语言导向推理呈现误报、误判的结果。"由此,在模型上我们觉得将来更多的是指令的微调。" 一位网络安全领域资深专家判断。
大模型很重要,但是它无法决定终局的胜负,作为一个专业模型,它对专业知识、专业场景的理解或许更重要。" 我比较认同‘数据 + 情报 +AI 就等于安全 GPT ’这个想法 " 薛锋说。他表示,数据只是我们的劳动对象,我们还是需要情报和 AI,作为加工和分析数据的两种工具和手段,三者结合有可能做出好的 GPT。
不过,不同背景的网络安全公司对 "GPT" 的研发和应用也存在路线上的差异,比如有的侧重 " 情报 ",有的侧重 " 监测 ",有的更偏向于 " 客服 ",有的则跨圈做起了 "AIoT"。但差异之外也有共性存在,在提出安全大模型的网络安全公司中,超半数以上明确提出了大模型的安全运营能力,大家也都不同程度的强调分析、执行等环节的自动化。
而在网络安全 "GPT" 的落地应用中,各大网络安全公司也分处于不同阶段,奇安信、安恒信息、绿盟科技等依旧保持着大模型研发的进行时,但相应的,他们也对大模型的实践能力规划出更多元的方向,提出更高要求;而已经发布大模型产品的公司也在持续调优,他们让基础的大模型产品率先着陆,再根据市场变动书写自己的进化论。
因此,对于安全 GPT 的定义可以有多种,但殊途同归,多元化的竞争环境或将为网络安全未来积累更肥沃的土壤。(本文首发钛媒体 APP 作者 | 贾雨微 编辑 | 秦聪慧)
关键词:
Copyright 2015-2022 亚洲直播网版权所有 备案号:京ICP备2021034106号-51 联系邮箱:5 516 538 @qq.com