今天小編分享的互聯網經驗:人才缺口超三百萬,大模型驅動網絡安全運營走向“自動駕駛”,歡迎閱讀。
圖片來源:視覺中國
若說當前網絡安全行業關注度最高的技術應用方向,非 AI 大模型莫屬,網絡安全行業也在呼喚 GPT 盡快應用至業務。
随着攻防演練走向實戰化,一些新變化在一次次實戰演練中日益凸顯。技術奔走,當前國内網絡安全在攻擊側和需求側都與以往不同,網絡安全模式和產業出現相應新特征,效果導向成為了網絡安全建設的落點。目前,網絡安全行業已經基本告别了安全基礎防護和合規建設,轉而将焦點放在了安全運營與實戰演練。
企業所面對的風險、資產與威脅,是近年來網絡安全運營中變化最明顯的部分。技術帶來的問題還要靠技術解決,安全從業者還是要擁抱新技術、應對新變化,探索大數據、威脅情報、AI 大模型等新技術在網絡安全運營中的落地應用。
網絡安全對 GPT 的天然需求
為什麼市場呼喚安全 GPT?一個重要原因在于安全運營中發生的變化越來越多,大概可以總結為三個主要方面:風險、資產、威脅。
面對風險,演習中經常能夠發現:越來越多的攻擊開始大量使用 0day。對于軟體廠商和用戶來說,0day 攻擊是危害最大的一類攻擊,它被攻擊者掌握卻未被軟體廠商修復,在暴露前對于廠商來說是未知的風險。而現實的傳播中存在大量的已知漏洞與未知漏洞,但基于成本、破壞程度等綜合考慮,并不是所有的漏洞都必須立即打補丁,也存在并不用打補丁的情況。
如何對已知、未知漏洞進行修補時效上的區分和判定?是不是所有暴露出來的已知漏洞都必須修復?在一個部門面臨幾千到幾十萬個攻擊中,如何區分真正成功的漏洞攻擊?都需要使用技術協助區分。
資產方面,對攻擊面的關注成為了新趨勢。資產包括了服務、軟體、中間件等,甚至人員、供應鏈等也會成為黑客用來突破的攻擊界面。往往企業或部門的體量越大,容易暴露的攻擊面也就越多。以學校為例,雖然有很多專業人員與工具進行防範檢查,但是每個學生都可被作為攻擊面,更現實的情況還有人員安全意識很難大幅提升,導致黑客發個郵件,發個 QQ,可能就會實現欺騙、釣魚。
說到威脅,古老的攻擊方式——釣魚,現在也釣出許多新花樣。釣魚工具日漸高級,二維碼釣魚、加企業微信釣魚、發郵件釣魚、附件釣魚等等層出不窮,現在釣魚已經跟過去魚叉式攻擊結合起來,防範難度被迫需要更新。而除了釣魚攻擊之外,還有很多覆蓋範圍較廣、以金錢為主要目的的勒索軟體,以及針對性極強的威脅—— APT 攻擊,這對國產軟體發展也造成了一定威脅。
據 360 發布的《2022 年全球高級持續性威脅(APT)研究報告》,2022 年針對中國發起的攻擊活動共涉及 14 個 APT 組織,政府、教育、信息技術、科研和國防軍工等 15 個行業領網域依然是 APT 組織攻擊活動主要的目标領網域。此外,在 2022 年 APT 組織針對我國展開的攻擊活動目标中,包含我國國產化作業系統和自主軟體供應商,顯示出了攻擊活動瞄準我國自主可控領網域發展的趨勢。
網絡安全形勢復雜,而龐大的人才缺口又加劇了這一挑戰。多位網絡安全企業的高管層曾不同程度向钛媒體 App 表達過網絡安全在人才方面的窘迫現狀。" 網安人才的缺口至少有幾十萬,這其中尤為缺少能夠解決以上復雜難題的專家。" 微步在線創始人兼 CEO 薛鋒對钛媒體 App 表示。
教育部數據也印證了這一判斷,據 2022 年 9 月發布的《網絡安全人才實戰能力白皮書》,到 2027 年,我國網絡安全人員缺口将達 327 萬,而高校人才培養規模為 3 萬 / 年,許多行業面臨着網絡安全人才缺失的困境。
業界期待 GPT 的到來能在一定程度上緩解網絡安全領網域的人才壓力,此前綠盟科技CTO 葉曉虎也對钛媒體 App 透露,訓練好的 GPT 知識儲備量可以達到一年級博士生的水平。雖然 GPT 技術在安全的應用也是剛剛開始,但從應用表現來看,通過分析 IP 以及整合相關資料提高安全運營人員和安全分析師的工作效率,這樣的變化已經可以給安全運營帶來一些突破和創新。
據钛媒體 App 了解,一些網絡安全客戶也根據使用需求向企業提出了更細節的想法,已經有一些防御者想好了怎麼使用安全 GPT,他們甚至希望生成 PPT,直接貼到自己的報告裡面。與客戶業務進行結合,與高校、用戶部門共創,或許是安全 GPT 目前發展的适宜生态。
钛媒體 App 經公開數據整理
據钛媒體 App 不完全統計,當前已經有微軟、360 集團、綠盟科技、微步在線等多家網絡安全公司已經基于大模型推出了對應的 GPT 工具,應用方向不乏安全評估、防御、威脅情報分析處置自動化、安全屆智能客服等領網域。可以預見的是随着越來越多的安全的企業加入對 GPT 的探索,網絡安全運營的自動化、智能化有望進入 " 自動駕駛 " 階段。
安全 GPT 的智能化潛力
自從大模型出現之後,深度學習等等都變成了 " 傳統 AI"。據了解,在傳統 AI 應用中,已經可以依靠圖數據庫和 AI 雙重支持,進行關聯分析和拓線。據微步在線數據,在 Windows 下的 PE 檔案和 Linux 下的 ELF 檔案中,傳統機器學習查殺可以做到在 97%、98% 檢出率的情況下,保持十萬分之二,十萬分之五的誤報率。這種機器學習模型也提高了產出率,只需要幾個月時間訓練模型以及後續重復訓練模型可以做到極高產出。
因此,疊加 GPT 之後,網絡安全智能化又進入了一個新階段。" 使用安全 GPT 的其中一個作用就是分析 IP,後台通過 AI 算法生成對 IP 的判定,提供豐富信息來幫助安全人員做進一步分析和研判,提升分析效率。" 薛鋒對钛媒體 App 表示。具體來看,判定内容首先會給出網域名類型的結果,再對這個 IP 威脅類型進行進一步分析,包括:它是不是做過掃描、是否發過邏輯郵件,掃描過端口的時間、攻擊負載等,更進一步還會有相關背景或惡意關聯信息的延伸介紹。
更具體一些的例子比如黑客網域名控制,在過去只會得到 " 這是一個遠程控制網域名 " 的答案,而通過安全 GPT 會得到更多信息:這是個惡意的網域名、注冊人、注冊時間,以及作為命令控制伺服器能幹什麼事情,這個黑客的主要目的等等。
不僅如此,接下來安全 GPT 還會提供簡單的應對方法:它會進一步告訴使用者如何防範這種蠕蟲;并且還會告訴使用者這個家族可能有超過一千多個木馬病毒變種,然後繼續關聯互聯網上曾經報道過這個木馬病毒文章的分析和摘要。
但是就目前來看,GPT 在網安行業内的嘗試不會像其它行業一樣擁有大幅的能效提升,最重要的原因是" 檢測 " 這一核心的技術能力無法通過 GPT 準确實現。
GPT 的最終效果是進行推理總結,從而輔助安全分析師、安全運營人員等提升工作效率,它并不擅長做專業的檢測和判斷。檢測要靠專業引擎、專業工具來實現,對于判斷是不是病毒這件事情還得依靠上文所提及的傳統 AI,利用深度學習或者它寫的規則進行判定;而 GPT 在這個判定過程中容易根據語言導向推理呈現誤報、誤判的結果。"由此,在模型上我們覺得将來更多的是指令的微調。" 一位網絡安全領網域資深專家判斷。
大模型很重要,但是它無法決定終局的勝負,作為一個專業模型,它對專業知識、專業場景的理解或許更重要。" 我比較認同‘數據 + 情報 +AI 就等于安全 GPT ’這個想法 " 薛鋒說。他表示,數據只是我們的勞動對象,我們還是需要情報和 AI,作為加工和分析數據的兩種工具和手段,三者結合有可能做出好的 GPT。
不過,不同背景的網絡安全公司對 "GPT" 的研發和應用也存在路線上的差異,比如有的側重 " 情報 ",有的側重 " 監測 ",有的更偏向于 " 客服 ",有的則跨圈做起了 "AIoT"。但差異之外也有共性存在,在提出安全大模型的網絡安全公司中,超半數以上明确提出了大模型的安全運營能力,大家也都不同程度的強調分析、執行等環節的自動化。
而在網絡安全 "GPT" 的落地應用中,各大網絡安全公司也分處于不同階段,奇安信、安恒信息、綠盟科技等依舊保持着大模型研發的進行時,但相應的,他們也對大模型的實踐能力規劃出更多元的方向,提出更高要求;而已經發布大模型產品的公司也在持續調優,他們讓基礎的大模型產品率先着陸,再根據市場變動書寫自己的進化論。
因此,對于安全 GPT 的定義可以有多種,但殊途同歸,多元化的競争環境或将為網絡安全未來積累更肥沃的土壤。(本文首發钛媒體 APP 作者 | 賈雨微 編輯 | 秦聰慧)
更多精彩内容,關注钛媒體微信号(ID:taimeiti),或者下載钛媒體 App
