微步在线薛锋:数据+情报+AI 安全GPT助推安全运营走向“自动驾驶”时代

首页 / 业界 / 企业 /  正文
作者:藏青
来源:安全419
发布于:2023-05-30
5月25日,由微步在线发起的“CSOP 2023网络安全运营与实战大会”在北京举行。作为对CTIC网络安全分析与情报大会的延续和全新升级,大会以“新威胁 新安全”为主题,邀请权威专家学者以及来自金融、能源、制造、互联网等热门行业安全负责人现身说法,在新威胁与新安全的攻防博弈中,共探面向实战化的安全建设和运营之道。
 


新威胁驱动新安全 监管及需求关注点已从合规转向实战
 
微步创始人兼CEO薛锋在大会现场做了题为《安全运营的第一性原理》主题演讲,薛锋认为,当前国内网络安全在攻击侧和需求侧发生新变化,网络安全模式和产业出现相应新特征,网络安全建设和运营从基础建设和合规导向逐渐过渡为效果导向,网络安全技术、产品和解决方案注定要走向自动化、云化、实战化和订阅化;但无论网络安全的需求和模式如何变化,安全运营始终保有其第一性原理,安全从业者要拥抱新技术、应对新变化,需要处理好风险、资产、威胁等网络安全运营三要素,不断探索大数据、威胁情报、AI大模型等新技术在网络安全运营中的落地应用。
 
尽管5G、IoT、云等并非近年来诞生的新兴技术,但它们及伴生的相关场景在此前三年中发展迅猛,并带动基础设施发生了巨大的变化,同时也为安全带来了诸多新的挑战。其中比较典型的如办公场景,远程或混合办公模式的广泛采用导致此前传统办公模式下的众多安全措施成为虚设。
 
同时,监管层面也在发生着变化。行业级、区域级乃至国家级攻防演练活动都已经或正在形成常态化,充分体现出在近几年网络威胁形势日趋严峻的情况下,监管层面的关注点开始从面向合规转变为面向实战和效果。此外,随着企业数字化的升级,企业的云上资产数据爆炸式增长,导致用户的需求也在发生转变,注重效果、注重发现、注重运营、注重实战成为新的特点。
 
作为攻防对抗中的一分子,攻击者的变化同样不能忽视,它主要体现在三点:首先是攻击技术平民化,一些技术水平较低的不法分子通过利用制作好的攻击工具就可以发起对各类目标的无差别攻击;其次是加密货币和暗网的流行,在很大程度上刺激了那些以获利为目的的网络犯罪分子不断推陈出新,如勒索软件攻击从最早的加密数据扩展到窃取数据、泄露数据等多重勒索攻击,以达到索取更高赎金的目的,让受害用户承受包括资金损失、信誉损失、合规损失等诸多严重后果。
 
面对监管侧、需求侧和挑战侧的全新安全形势,作为防守的一侧,安全行业同时也在相应地做出调整和改变。
 
首先是安全技术的变化以往的安全技术更多是基于规则、特征的匹配,而现在则开始向数据化转变,以微步在线为例,其情报数据与企业自身所采集的安全相关数据结合匹配,经过精准的数据分析去发现、定位问题,通过这种数据化思路所能取得的安全成效要显著优于此前的传统思路。
 
其次是安全载体的变化安全能力云化已经成为当前安全行业的主流趋势之一,相比传统安全建设更多是依靠堆砌安全设备的方式去完成,云化所带来的数据、算力优势是显而易见的,同时在用户一侧的部署和应用方面也同样具备极大优势。
 
第三是服务模式的变化据薛锋介绍,微步在线一直都坚持认为将安全能力以盒子这种方式交付且一次性买断的模式并非对客户最有利的,以订阅服务的方式去交付安全能力才是对双方更有价值的模式,因其将选择权真正交给了客户。于是,微步在线于2017年就成立了客户成功团队,也是国内最早拥有此类团队的安全企业。
 
“选择订阅模式的确给微步在线带来了一定的压力,但同时我们也坚持将其视作一种动力。”薛锋在发言中谈道,“在这种压力之下,我们会有一种如履薄冰的紧迫感,促使我们必须要去持续地创造、持续地创新,以能够持续地为客户创造价值,为客户交付价值。”
 
其实这并不难理解,在以往一次性买断的模式下,用户更换供应商或产品的周期短则一两年,长则三五年,而在订阅模式下,用户可以在每年甚至每个月都选择放弃与供应商的合作,这样一看,哪种模式对创新的驱动力更强,对用户更为有利是显而易见的。因此薛锋更是坚持认为,订阅模式一定会是安全行业未来的主流模式。
 
关于当前行业中云化交付模式、订阅模式的未来发展前景,微步在线在其今年2月份举行的终端安全新产品发布会上也有过分享,我们在上一篇报道中对微步在线坚持云化、SaaS化产品交付模式背后的逻辑做了一些分析,对此关注的朋友可以移步阅读(扩展阅读:《微步在线OneSEC: 补齐检测与发现产品闭环 全方位精准覆盖终端威胁》),在此我们便不再过多赘述。



数据+情报+ AI 
是构成安全GPT大模型的三大关键要素
 
值得重点关注的是,薛锋在其演讲最后演示了微步旗下X情报社区全新上线的安全GPT应用,分享了微步在线在安全AI和GPT技术方面的探索和实践。据介绍,微步在线已经面向社区开放上线这一功能,所有社区用户都可申请使用,来进一步体验安全GPT为行业带来的变革。
 
展望安全GPT的未来,薛锋认为数据、情报和AI技术会极大提升网络安全运营的自动化、实战化能力,助力网络安全运营走向“自动驾驶”时代。在会后的交流环节中,围绕微步在线对安全GPT的落地应用实践,以及在这一领域的未来规划,我们邀请薛锋做了进一步地分享自己的观察和理解。
 


近两个月来,随着ChatGPT的第一波热潮退去,人们也逐渐回归理性,愈来愈多的人开始注意到类GPT大模型的局限性。尽管大型语言模型功能强大,但面对自己的知识盲区时,经常会生成一些不准确、误导或明显错误的信息。而在网络安全领域类GPT大模型的应用实际要更加谨慎,一旦发生大模型“乱编”的现象,或将引发十分严重的后果。
 
薛锋谈到,在过去的数个月的时间里,ChatGPT迅速爆红,引起了各个行业的广泛关注。但很快,微软Office Copilot、谷歌Bird、Chat GLM等大模型应用像雨后春笋一样接连问世让大家认识到,做安全行业GPT研究,不应该过于追求基础模型的本身的创新,虽然大模型很重要,但在安全行业中对专业知识、专业场景的理解显然更加重要。
 
他认为,类GPT大模型在一定程度上改变安全行业已是大概率事件,但当然行业应用类GPT大模型仍然处于相对早期,现在仍然看不到未来的终局。同时薛锋提出了自己的观点:“数据+情报+ AI =安全GPT”,数据只是劳动的对象,而情报和AI基础模型则是加工和处理数据的工具和手段,因此,唯有大规模的数据量级叠加威胁情报技术和AI技术,才有可能孕育出一个真正好用的安全GPT模型。
 
“在我看来,GPT在更多意义上应该定位为辅助角色,帮助安全人员分析推理,针对木马病毒的检测和研判并非GPT所长。检测最终仍然要依赖于专业的引擎和工具来实现,通过规则的方式来区别黑和白。”薛锋表示,当前的类GPT大模型虽然已经能够很好地理解人们所表达的意图,并重新组织语言复述出来。但显然,驱动GPT来分析一段代码是否存在木马病毒这件事情还为时尚早。
 
数据与威胁情报能力
或将成为安全GPT的核心壁垒
 
回到前文提到的类GPT大模型生成误导性结果的话题,薛锋认为,数据与威胁情报技术或将成为构建安全GPT壁垒的关键。“回到数据和情报本身,假如你的情报不准确、检测能力不准确,那么GPT学习的数据样本本身就是错误的。即使它生成了一大篇看似专业的分析报告,但通篇错漏百出的话,这种结果不应该发生在网络安全领域。”
 
因此薛锋认为,任何想要打造安全GPT的安全厂商都应该思考自身是否拥有这三点核心能力:是否擅长基础模型的训练、是否掌握足够量级的大数据以及是否拥有精准的威胁情报技术。
 
他介绍,作为业内威胁情报领域的一流安全厂商,微步在线本身积累了大量的安全大数据和威胁情报技术,过去微步是人工把数据进行充分的咀嚼和分析,以一种能够更好地理解上下文的方式赋能给用户。而当前在做的事情,是要将这些数据通过威胁情报技术打上标签,让安全大模型自己来理解后再讲出来告诉用户。因此,在构成安全GPT的三大要素中,在AI基础模型上,所有安全厂商都站在同一起跑线前,但在数据与威胁情报上,微步在线则已经抢占了先发优势。
 
据薛锋透露,目前微步的机器学习技术已经成熟应用于文件查杀等领域,如对Windows环境的PE文件和Linux环境的ELF文件进行查杀,检出率可达97%—98%,同时误报率低至0.005%和0.002%。
 
在微步在线的演示中也能够清晰地看到,在AI和威胁情报的赋能下,微步在线X情报社区的安全GPT功能已经能够帮助用户自动化判定可疑IP和相关攻击事件,极大地提升了安全分析的效率,降低了安全运营工作技术门槛。
 
薛锋表示,“我们今天演示的只是不到1/10的安全GPT,大模型在安全的应用是一场万里长征,目前才刚刚开始。但我们已经惊喜地看到,这十分之一的变化已经为每天的安全运营工作带来了大量的突破和创新。安全GPT的未来值得每一个人憧憬和期待,微步在线也将与用户们一起迎来‘自动驾驶’安全运营的时代。”