安全419关注到,近日,国际IT咨询机构Gartner发布了《2024中国安全技术成熟度曲线》(Hype Cycle for Security in China,2024)报告。
这是该报告聚焦于国内发布“中国版”的第三年,Gartner将适用于国内安全市场的各种新科技,根据演变速度及要达到成熟所需的时间,划分为技术萌芽期、期望膨胀期、泡沫破裂谷底期、稳步爬升复苏期、生产成熟期5个关键阶段,依此绘制出技术成熟度曲线(Hype Cycle),成为甲乙方企业评估不同安全技术成熟度及市场发展趋势的一种工具,也是帮助行业客观判断技术潜力和商业价值的重要依据。
技术萌芽期通常是技术成熟度曲线中最拥挤的部分,处于这一阶段的新兴技术,往往被视为推动行业创新发展的新方向和新趋势,新兴技术本质上具有颠覆性,还没有众所周知或已被验证的竞争优势,可能需要2-10年成为主流被采用。透过该阶段,可以观察潜在市场、技术走向以及主流应用的演变途径。
在今年的报告中,技术萌芽期的新兴技术包括:数据风险评估DRA、数据安全平台DSP、数据安全治理DSG、入侵与攻击模拟BAS、机密计算、威胁暴露面管理TEM、AI安全助手。
其中,前六项技术已经在2023年和2022年的报告被列入,对技术的定义阐释、所能解决的问题、在国内市场的应用情况等等感兴趣的读者朋友,可以点击下方链接查阅。
把握网安产业的重大技术机遇
AI安全助手(Cybersecurity AI Assistants)是今年首次入选报告的新技术。
将AI技术应用于网络安全领域,已有超过十年的实践经验,但彼时AI技术自身的发展成熟度有限,与安全业务的融合程度和价值开发尚浅。自2022年底,ChatGPT强势席卷各行各业,生成式AI代表着AI技术的巅峰,大语言模型LLM成为最具代表性的工具,在网络安全供给侧和用户侧都掀起浪潮,迅速在诸多应用场景中进行开发和试验。
Gartner曾在《2023安全运营技术成熟度曲线》报告中首次将生成式网络安全AI(Generative Cybersecurity AI)列入技术萌芽期,定义其“通过从大型原始源数据存储库中学习,生成与安全相关和其他相关内容、策略、设计和方法的新衍生版本,可以作为公共或私有托管云服务交付,也可以嵌入安全管理接口,还可以与软件代理集成以采取行动”。
最核心的切入点,在于生成式网络安全AI可以有效改进现有的工作流程,进行功能替换或扩展,提高效率并缩短对安全风险和威胁的响应时间。研究认为主要用例包括:综合和分析威胁情报;为应用程序安全性、错误配置生成修复建议,以适应威胁;脚本和代码生成;实施安全代码代理;识别和绘制日志系统中的关键安全事件;进行风险和合规识别和分析;自动化事件响应的第一步;安全配置调整的调优;创建通用的最佳实践指南。
看回国内市场,从这一年多持续不减的热度,以及积极涌入市场的诸多相关产品,我们也能明确地感受到这股技术浪潮的颠覆性影响。安全419在今年策划《安全大模型应用观察》系列选题,展示了国内市场中安全大模型的技术研究成果和产品落地情况,与上述分析较为一致,在安全运营、威胁情报、软件安全开发、数据安全、网络靶场、反诈等领域均有市场化的实践应用,但整体仍处于发展早期。
而在前段时间刚发布的《2024安全运营技术成熟度曲线》报告中,入选技术已经与《2024中国安全技术成熟度曲线》描述一致,均为“AI安全助手”。我们分析认为,AI安全助手更偏向于,采用生成式网络安全AI技术在目前的发展阶段中和主流的应用场景中,普遍呈现出的载体形式,既可以是独立的应用,也可以集成在现有的网络安全工具中,最容易实现的功能是基于自然语言的安全问答、安全运营层面的提质增效等等。
AI安全助手的市场化产品应用观察
接下来我们通过介绍一些市场化的产品来进一步加深对技术实践的认识。
8月12日,IBM宣布推出AI安全助手,基于IBM的数据和AI平台watsonx构建,包括一个生成式 AI 对话引擎,可就操作任务为客户和IBM安全分析师提供实时洞察和支持。除了响应请求(如建立或汇总问题单),该功能会自动触发相关操作,包括运行查询、提取日志、命令解释或丰富威胁情报。AI安全助手被纳入IBM的威胁检测和响应TDR服务,通过加快和改进对关键安全威胁的识别、调查和响应,以及解释复杂的安全事件和命令,从而协作客户推进和简化安全运营。
4月1日,微软最新版本的AI安全助手—Copilot for Security上市,并嵌入到微软的整个安全产品中,可以分析来自这些产品的数据,并提供自动解释和解决方法。比如事件摘要,将复杂的警报转化为清晰的可操作指引;比如影响分析,评估安全事件的潜在影响,提供对受影响系统和数据的判断,以确定响应工作的优先级;比如分步事件响应,为事件响应提供可操作的逐步指导,包括分类、调查、遏制和补救的方向。这些功能的主要优势之一是它们可以帮助初级人员使用人类语言提问,并获得他们可以理解的回答。
2023年底,腾讯云安全首次对外发布AI安全助手,基于在通用模型基础上投喂安全知识语料库二次训练出的安全大模型打造而成,集成到腾讯安全产品中,可在产品界面、平台托盘、告警解释甚至在企业微信对话列表中通过自然语言唤起交互。覆盖告警解释、漏洞修复、日志处理、智能客服等能力,宛如一个贴身伴行的虚拟安全专家。安全人员通过AI安全助手可直接对话腾讯安全知识库和情报威胁库,以更简单的方式执行漏洞扫描、漏洞修复、日志查询等操作,从繁琐硬核的操作中解放出来。
以上产品更侧重在安全运营相关的使用场景,通过强化对威胁的检测、分析和响应,噪音,以自然语言交互的方式辅助安全专家开展工作,并且降低安全工具的噪音,实现提质增效。
另外在软件安全开发场景,我们观察到海云安推出了开发者安全智能助手,将白盒安全检测、开源组件检测、应用安全合规等多方面安全能力嵌入到开发环境中,面向软件开发人员、编程人员提供安全赋能。AI辅助生成规则,辅助生成检测规则提升检测覆盖率,全面增强检测、验证、修复效果;AI生成漏洞成因,根据当前实际代码分析漏洞的形成原因、利用方法和修复方案;AI降低检测误报,融合SAST、SCA等技术进行分析,识别代码已有安全防护手段,运用AI大语言模型,极大降低误报率;AI自动修复代码,支持AI自动生成修复方案,开发者确认无误后点击接受即完成修复。
又比如终端防护场景,360打造的安全大模型通过进行威胁发现的端到端训练,实现未知威胁和异常痕迹的瞬时甄别,加持到EDR产品中,在0day捕获、APT猎杀等高阶终端能力方面明显提升,其于近期的实网攻防演习中成功捕获针对某企业OA系统的0day攻击,试图勒索被检测与阻断,并且实现了分钟级猎杀APT-C-28海莲花对某企业的攻击。
当前,绝大多数国内一线安全厂商都发布了自家的安全大模型,或者采用生成式AI技术对自身的产线进行重大迭代升级,结合自身优势业务领域去做微调应用。就生成式AI参与的工作来看,大部分属于辅助角色,而非处于精准的决策地位,目前行业整体尚处于验证阶段,与Gartner报告中的“助手”阐述如出一辙,也符合技术萌芽期的发展特征。用AI技术升级安全,输出全面的有价值的结果,并参与应用的自动化进程,距离这种卓越级表现仍需时日,我们在此借用360集团创始人周鸿祎在ISC.AI 2024提出的方法论,攻坚专业技能的大模型,找准明星场景,通过知识管理、专家协同、构建智能体、融合工作流,真正落地安全大模型,推动安全从“辅助驾驶”迈向“自动驾驶”。