科技云报道：2023年安全运营之风将吹向何方？

　　科技云报道原创

　　在实战演练成为常态化的背景下，建立实战化安全运营能力是一个绕不开的话题。作为网络安全发展的时代产物，安全运营被认为是解决现有挑战的有利方法。

　　但随着有安全形势、政策导向、发展需求的变化，安全运营的理念也在不断演进，每一年都有新的技术和方法来优化安全运营的持续性能力输出。

　　近日，在2023网络安全运营与实战大会(原网络安全分析与情报大会)上，十余位来自政务、能源、金融、制造等行业安全负责人和网络安全专家，围绕威胁情报落地应用、攻防演练能力提升、实战化安全运营体系搭建三大议题分享了最新观点。

　　作为大会发起和主办方之一，微步在线创始人兼CEO薛锋也发表了“安全运营的第一性原理”的观点。

　　面对如此多的新形势、新技术，2023年的安全运营之风将吹向何方?

　　安全运营面临四大挑战

　　近年来，网络安全形势、法律法规的不断变化，都推动着企业安全建设需求的变化。如今企业需要的安全已不再只是合规，而是能够不断自我迭代优化、演进、提供持续性能力输出的安全运营保障体系。

　　这种变化主要来源于以下四大挑战：

　　第一，IT基础设施的变化。

　　随着云计算、5G、loT等技术的快速发展，IT基础设施的形态和应用发生了剧变，大量涌现的云应用、远程办公模式等，为企业网络安全打开了巨大的风险敞口。

　　第二，监管要求的变化。

　　等保2.0、数据安全法、网络安全法等法规制度不断出台，促使我国的安全顶层设计逐步完善，监管要求也不再是以前的合规建设，而是对安全效果的强监督。

　　第三，攻击者的变化。

　　随着自动化工具和AI技术的普及，很多军用技术民用化，使得更多的攻击者开始采用高级攻击手段，攻击成本也变得越来越低，这种技术层面的飞跃对于企业安全防护而言，是一个巨大的挑战。

　　第四，企业数字化转型的变化。

　　随着企业数字化程度发展到一定阶段，线上资产越来越多，要保护的资产数量大幅增长，因此更加注重安全效果、注重安全运营成为一种必然趋势。

　　安全运营需保有第一性原理

　　事实上，新的挑战也为安全运营实际工作带来了新的问题，企业必须思考如何应对这些纷繁复杂的安全挑战。

　　在微步在线创始人兼CEO薛锋看来，无论网络安全的需求如何变化，安全运营始终保有其第一性原理。

　　所谓第一性原理，就是一种刨根问底、追究最原始假设和最根本性规律的思维习惯，通过回到源头、从源头开始重新出发来创建新的解决方案。

　　薛锋认为，遵从安全运营第一性原理，安全从业者始终需要处理好网络安全运营的三要素——资产、风险、威胁。

　　先说资产。

　　企业所拥有的一切设备、信息、应用等资产都可能被潜在攻击者利用，无论是硬件设备还是云主机、操作系统、IP地址、端口、证书、域名、应用、API等。由于资产涉及的覆盖面特别广、变化快以及影子资产的隐蔽性，给企业资产管理安全运营带来了巨大的挑战。

　　为此，业界推出了攻击面管理的概念，包括暴露面资产全面发现、资产脆弱性风险识别、多源数据融合分析、专项暴露面收敛等，为的就是解决“你无法保护你看不见的东西”的问题。

　　但是攻击面梳理其实是一件非常复杂的事情。例如，全员安全意识很难大幅提升，攻击者即使是通过一封钓鱼邮件都有可能攻入企业内网，在这种情况下，人员资产就变成了最大的攻击面，这是通过工具也很难检测出来的。

　　再说风险。

　　对于风险，大家普遍的认知是关于漏洞。CNVD公开数据显示，2022年共披露安全漏洞23900+枚，其中中高危漏洞占比近89%。如此风险程度的漏洞一旦被攻击者利用，会给企业组织带来毁灭性打击。

　　除了已知漏洞，攻击者也开始大量使用0day漏洞。数据显示，2021年以来，0day漏洞攻击呈爆发趋势，在野利用的0day/1day漏洞数量超过70个，这在网络安全历史上是前所未见的。

　　漏洞数量占比逐渐攀升主要原因，无外乎企业安全能力难以匹配黑客技术迭代和应用设备部署的数量，种种因素叠加，造成当下漏洞数量、修补难度、危害程度和影响范围都逐渐增长的现状。

　　面对如此多的漏洞，如何检测、排查?是全部修复，还是按优先级修复?面对海量告警，如何判断哪些漏洞攻击是真正成功的?这些都是安全运营工作日常所面临的难题。

　　最后说威胁。

　　近年来，APT、挖矿、勒索、钓鱼等新型威胁不断涌现，高级攻击手法、复合型攻击层出不穷，非常难以防范。

　　据微步在线掌握的数据统计和推测，政府高校、科研院所已经是APT攻击重载区,全国范围内今天同一时刻正在被APT控制的单位，可能有几百家到几千家，而这些趋势将延续至新的一年。

　　面对资产、风险、威胁的种种变化，光凭人力去对抗已经力不从心。考虑到网安人才缺口大的现状，企业想单纯依靠安全专家来解决安全运营的问题，显然也不现实。

　　在这种情况下，安全想要赶上业务发展速度和攻击者的速度，就不能再依靠人工操作，而是必须借助自动化，用机器速度来对抗机器速度。因此，自动化的安全运营成为理想的解决方案。

　　随着AI技术的演进，安全运营的自动化正在从传统的机械式自动化，向AI加持的智能自动化、认知自动化，甚至是超自动化的方向演进。当下以ChatGPT为代表的AI大模型技术，正在为安全运营的自动化带来新的革命。

　　AI大模型让安全运营走向新时代

　　目前，AI大模型在网络安全领域的最佳应用场景几乎都来自安全运营，涵盖了从事件检测、调查、响应到汇报的各个环节。

　　微软在2023年3月底抢先发布了基于AI大模型(GPT4)的SecurityCopilot(安全副驾)，为用户提供了一个安全运营智能助理。发布会上，微软演示了3个应用AI大模型的安全运营场景，分别是基于Prompt的威胁猎捕、事件响应和出具安全报告。

　　在2023 RSAC大会上，谷歌发布了基于安全领域专用的LLM(称作“Sec-PaLM”)的GoogleCloud Security AI Workbench(谷歌云安全AI工作台)，赋能客户、伙伴和自身的安全产品，实现智能化安全运营。

　　主要应用场景包括基于AI的恶意代码检测，生成情报洞察摘要报告，基于自然语言的事件查询与调查，智能化检测规则生成，以及基于AI大模型的事件摘要和攻击图摘要说明。

　　同样，在2023 RSAC大会上，SentinelOne也推出了自己的安全专用AI大模型——Purple AI，通过基于自然语言的多轮对话形式，协助用户进行威胁猎捕、分析与响应。

　　5月25日，在2023 CSOP网络安全运营与实战大会上，微步在线也展示了多项AI技术以及时下热门的“安全GPT”初步应用成果。

　　据薛锋透露，目前微步在线的机器学习技术已经成熟应用于文件查杀等领域，如对Windows环境的PE文件和Linux环境的ELF文件进行查杀，检出率可达97%-98%，同时误报率低至0.005%和0.002%。

　　微步在线的安全GPT技术应用，可以帮助企业安全运营人员对相关威胁情报进行智能化归集汇总，以便快速找到分析切入的视角和线索，做出更明智的决策，提高工作效率，进而实现对风险的有效管控。

　　同时，薛锋对安全GPT技术的应用前景表示了极大的认可，“我们演示的只是不到1/10的安全GPT，大模型在安全的应用是一场万里长征，目前才刚刚开始。”

　　展望安全GPT的未来，薛锋认为数据、威胁情报(TI)和AI技术会极大提升网络安全运营的自动化、实战化能力，“数据+TI+AI”将助力网络安全运营从“辅助驾驶”走向“自动驾驶”时代。

　　可以肯定的是，专门面向安全领域的AI大模型对安全运营必将产生深远的影响，正如微软安全业务的副总裁Vasu Jakkal在《Defending at Machine Speed》演讲时所说，“AI应用于安全的拐点已来”。因此，在战略层面要高度重视AI大模型。

　　但在战术层面，企业必须清醒地认识到，当前AI大模型技术在安全运营领域的应用还比较初级，应充分挖掘可以发挥AI大模型基本特长的安全运营应用场景。而在AI大模型进一步突破之前，现阶段的分析型AI依然还有用武之地。

　　【关于科技云报道】

　　专注于原创的企业级内容行家——科技云报道。成立于2015年，是前沿企业级IT领域Top10媒体。获工信部权威认可，可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。