“以防火墙、IDS和杀毒软件为代表的安全防护‘老三样’已难以有效应对新的安全威胁,基础安全需要被重新‘定义’。”4月11日,在以“智见·破境”为主题的“CSOP 2024网络安全运营与实战大会”上,大会发起方之一微步在线创始人兼CEO薛锋作出上述表述。

打开网易新闻 查看更多图片

微步在线成立于2015年,是国内知名度最高的威胁情报代表厂商,引领了领域应用的快速发展,历经多年,目前定位“新安全头部企业”的微步在线可向用户提供“云+流量+端点”全方位威胁发现和响应的产品及服务。此次大会薛锋喊话称,微步在线未来将要做“新基础安全提供者”,被认为是此前提及的“新安全”理念的具体落地升级。

基础安全需要重新“定义”

在此次“CSOP 2024网络安全运营与实战大会”上,从薛锋的表述来看,其主张的是以IDS、防火墙、杀毒软件为代表的基础安全需要重新“定义”,其认为,基础安全一直是“兵家必争之地”,是阻拦黑客的主要手段,不过面对越来越多的新威胁,且从绝大多数安全事件来看,基础安全亟须创新升级。

薛锋并不否认基础安全的重要性,他将其形容为就像酒店必备的监控、防火、防盗基础设施一样,但是从现有攻防趋势来看,基础安全很难抵御得住黑客实战化的高频攻击已成事实。

这一点我们也是有着同样的感受,从一些攻击事件来总结,比如说那些被勒索软件攻击的企业,不能说是他们没有配备基础安全设备,事实上基础安全如今几乎只能阻拦那些低技能水平的攻击者。而有一些攻击行为,更是不在基础安全防范之内。

薛锋在本次会议上就举了大量的案例。比如当前绝大多数组织都在使用各种各样的云,在一些云安全事件当中,因配置错误导致的安全事件就不在少数,这一类问题自然不是传统基础安全能够解决的。另外还有钓鱼攻击,黑灰产的针对性攻击,0day攻击等等。

薛锋在演讲环节呼吁行业重新聚焦和创新基础安全技术,以适应时代的各种攻击方式。据介绍,微步在线当前正利用新的技术和数据来实现这一过程,未来微步在线将作为“新基础安全提供者”帮助客户大幅提升安全能力。

重新定义基础安全,也被薛锋认为是释放安全新质生产力的过程,从了解来看,当前微步在线以大数据、人工智能为基础,利用精准的威胁情报和安全大模型,来重新定义基础安全,进而推动形成网络安全新的生产力。

在微步在线内部,技术创新融合的NDR、下一代网关和EDR的重要演进,将是构成新基础安全的关键,从而取代传统“老三样”向企业客户交付全新的网络安全。

需要快速发现和了解对手

持续的安全运营被绝大多数甲方企业视为做好网络安全的必要工作。从这一角度来看,薛锋提出的观点是在失陷假设的前提下,如何发现安全问题将成为日常安全运营工作的关键,而发现,快速和准确性同样重要。

快速响应是避免被黑客攻破进而造成破坏的前提,但没有准确性作为必要前提,那么运营团队就会陷入海量报警当中,无法实际响应真正的风险。

薛锋还指出,每个单位在做安全建设时还应该重点了解你的对手。从该视角出发最容易联想到的场景比如攻防演练,或者是黑灰产,也就是说必须从攻击者视角来评估自身的薄弱之处。而背后,精准的威胁情报必然会发挥重要作用。

那么如何提升威胁发现的快速与准确性,如何根据攻击者最具针对性的攻击做出及时响应,人工智能技术的应用将是安全运营人员最有力的效能武器。

打开网易新闻 查看更多图片

了解来看,微步在线在去年就推出了垂直应用的安全大模型产品“情报智脑XGPT”,XGPT将网络安全大模型与微步99.99%高精准威胁情报能力及实战化安全检测能力相结合,在持续迭代并应用到自身安全产品中,孵化为微步XGPT安全分析助手。

XGPT将全面提升基础安全的洞察能力,以及快速响应能力,从微步在线公布的企业客户侧大规模实践来看,在微步XGPT安全分析助手应用于企业安全事件的应急响应过程中,对于释放安全团队生产力方面价值明显,其可将原有从告警到分析到处置的时长缩短6倍以上。

这也是对与攻击者赛跑的安全运营效率上的一次彻底颠覆,其前提也正是获得风险的快速和准确性方面更具优势。

安全AI大模型在客户侧正加速落地

此次“CSOP 2024网络安全运营与实战大会”,来自高校、金融、能源、制造、互联网等行业的安全负责人也登台分享了当前阶段网络安全面临的新变化与新挑战,以及安全运营应变之道。

等保合规、攻防对抗、自主可控、数字化转型、新基础建设,企业网络环境越来越复杂,安全建设也越来越臃肿,有安全负责人就希望从安全运营数据可视化角度来解决上述问题,创新产品+技术联动,为企业交付多场景、多视角、多维度、可视化、可量化、可扩展的一体化风险发现能力将是持续安全运营的关键。

有安全负责人将这种企业亟须的持续安全运营能力定义为自动化、动态化和智能化需求上的转变,从而推动安全运营更加符合数字化转型的敏捷安全要求。而在具体实践当中,大数据、云计算、AI大模型技术的应用将是整合“技术-人员-流程”的关键。

也有安全负责人认为,风险驱动下,企业需要全新的“安全情报”以挖掘企业重点威胁,同时每个企业都需要一个安全情报中心,由其推动企业的网络安全主动运营。

作为支撑常态化安全运营的关键技术,人工智能大模型也在企业客户侧加速落地,大数据云端训练,本地化部署并结合自身业务特点进行二次训练,打造自身场景下的“GPT”应用,也正在全面进化企业客户的安全运营综合能力。

技术可以作恶,也可以为善,就如同密码技术是网络安全的基础技术一样,他也能应用到勒索攻击的数据加密当中。AI技术当前正在加速创新融合到安全产品当中,释放着全新的安全生产力效能,但安全专家也警告我们,必须采用可信计算筑牢人工智能安全防线,也应关注应用AI技术带来的自身风险。