科技云報道原創。

在實戰演練成為常態化的背景下，建立實戰化安全運營能力是一個繞不開的話題。作為網絡安全發展的時代產物，安全運營被認為是解決現有挑戰的有利方法。

但隨著有安全形勢、政策導向、發展需求的變化，安全運營的理念也在不斷演進，每一年都有新的技術和方法來優化安全運營的持續性能力輸出。

近日，在2023網絡安全運營與實戰大會（原網絡安全分析與情報大會）上，十余位來自政務、能源、金融、制造等行業安全負責人和網絡安全專家，圍繞威脅情報落地應用、攻防演練能力提升、實戰化安全運營體系搭建三大議題分享了最新觀點。

作為大會發起和主辦方之一，微步在線創始人兼CEO薛鋒也發表了“安全運營的第一性原理”的觀點。

面對如此多的新形勢、新技術，2023年的安全運營之風將吹向何方？

安全運營面臨四大挑戰

近年來，網絡安全形勢、法律法規的不斷變化，都推動著企業安全建設需求的變化。如今企業需要的安全已不再只是合規，而是能夠不斷自我迭代優化、演進、提供持續性能力輸出的安全運營保障體系。

這種變化主要來源于以下四大挑戰：

第一，IT基礎設施的變化。

隨著云計算、5G、loT等技術的快速發展，IT基礎設施的形態和應用發生了劇變，大量涌現的云應用、遠程辦公模式等，為企業網絡安全打開了巨大的風險敞口。

第二，監管要求的變化。

等保2.0、數據安全法、網絡安全法等法規制度不斷出臺，促使我國的安全頂層設計逐步完善，監管要求也不再是以前的合規建設，而是對安全效果的強監督。

第三，攻擊者的變化。

隨著自動化工具和AI技術的普及，很多軍用技術民用化，使得更多的攻擊者開始采用高級攻擊手段，攻擊成本也變得越來越低，這種技術層面的飛躍對于企業安全防護而言，是一個巨大的挑戰。

第四，企業數字化轉型的變化。

隨著企業數字化程度發展到一定階段，線上資產越來越多，要保護的資產數量大幅增長，因此更加注重安全效果、注重安全運營成為一種必然趨勢。

安全運營需保有第一性原理

事實上，新的挑戰也為安全運營實際工作帶來了新的問題，企業必須思考如何應對這些紛繁復雜的安全挑戰。

在微步在線創始人兼CEO薛鋒看來，無論網絡安全的需求如何變化，安全運營始終保有其第一性原理。

所謂第一性原理，就是一種刨根問底、追究最原始假設和最根本性規律的思維習慣，通過回到源頭、從源頭開始重新出發來創建新的解決方案。

薛鋒認為，遵從安全運營第一性原理，安全從業者始終需要處理好網絡安全運營的三要素——資產、風險、威脅。

先說資產。

企業所擁有的一切設備、信息、應用等資產都可能被潛在攻擊者利用，無論是硬件設備還是云主機、操作系統、IP地址、端口、證書、域名、應用、API等。由于資產涉及的覆蓋面特別廣、變化快以及影子資產的隱蔽性，給企業資產管理安全運營帶來了巨大的挑戰。

為此，業界推出了攻擊面管理的概念，包括暴露面資產全面發現、資產脆弱性風險識別、多源數據融合分析、專項暴露面收斂等，為的就是解決“你無法保護你看不見的東西”的問題。

但是攻擊面梳理其實是一件非常復雜的事情。例如，全員安全意識很難大幅提升，攻擊者即使是通過一封釣魚郵件都有可能攻入企業內網，在這種情況下，人員資產就變成了最大的攻擊面，這是通過工具也很難檢測出來的。

再說風險。

對于風險，大家普遍的認知是關于漏洞。CNVD公開數據顯示，2022年共披露安全漏洞23900+枚，其中中高危漏洞占比近89%。如此風險程度的漏洞一旦被攻擊者利用，會給企業組織帶來毀滅性打擊。

除了已知漏洞，攻擊者也開始大量使用0day漏洞。數據顯示，2021年以來，0day漏洞攻擊呈爆發趨勢，在野利用的0day/1day漏洞數量超過70個，這在網絡安全歷史上是前所未見的。

漏洞數量占比逐漸攀升主要原因，無外乎企業安全能力難以匹配黑客技術迭代和應用設備部署的數量，種種因素疊加，造成當下漏洞數量、修補難度、危害程度和影響范圍都逐漸增長的現狀。

面對如此多的漏洞，如何檢測、排查？是全部修復，還是按優先級修復？面對海量告警，如何判斷哪些漏洞攻擊是真正成功的？這些都是安全運營工作日常所面臨的難題。

最后說威脅。

近年來，APT、挖礦、勒索、釣魚等新型威脅不斷涌現，高級攻擊手法、復合型攻擊層出不窮，非常難以防范。

據微步在線掌握的數據統計和推測，政府高校、科研院所已經是APT攻擊重載區,全國范圍內今天同一時刻正在被APT控制的單位，可能有幾百家到幾千家，而這些趨勢將延續至新的一年。

面對資產、風險、威脅的種種變化，光憑人力去對抗已經力不從心。考慮到網安人才缺口大的現狀，企業想單純依靠安全專家來解決安全運營的問題，顯然也不現實。

在這種情況下，安全想要趕上業務發展速度和攻擊者的速度，就不能再依靠人工操作，而是必須借助自動化，用機器速度來對抗機器速度。因此，自動化的安全運營成為理想的解決方案。

隨著AI技術的演進，安全運營的自動化正在從傳統的機械式自動化，向AI加持的智能自動化、認知自動化，甚至是超自動化的方向演進。當下以ChatGPT為代表的AI大模型技術，正在為安全運營的自動化帶來新的革命。

AI大模型讓安全運營走向新時代

目前，AI大模型在網絡安全領域的最佳應用場景幾乎都來自安全運營，涵蓋了從事件檢測、調查、響應到匯報的各個環節。

微軟在2023年3月底搶先發布了基于AI大模型（GPT4）的SecurityCopilot（安全副駕），為用戶提供了一個安全運營智能助理。發布會上，微軟演示了3個應用AI大模型的安全運營場景，分別是基于Prompt的威脅獵捕、事件響應和出具安全報告。

在2023 RSAC大會上，谷歌發布了基于安全領域專用的LLM（稱作“Sec-PaLM”）的GoogleCloud Security AI Workbench（谷歌云安全AI工作臺），賦能客戶、伙伴和自身的安全產品，實現智能化安全運營。

主要應用場景包括基于AI的惡意代碼檢測，生成情報洞察摘要報告，基于自然語言的事件查詢與調查，智能化檢測規則生成，以及基于AI大模型的事件摘要和攻擊圖摘要說明。

同樣，在2023 RSAC大會上，SentinelOne也推出了自己的安全專用AI大模型——Purple AI，通過基于自然語言的多輪對話形式，協助用戶進行威脅獵捕、分析與響應。

5月25日，在2023 CSOP網絡安全運營與實戰大會上，微步在線也展示了多項AI技術以及時下熱門的“安全GPT”初步應用成果。

據薛鋒透露，目前微步在線的機器學習技術已經成熟應用于文件查殺等領域，如對Windows環境的PE文件和Linux環境的ELF文件進行查殺，檢出率可達97%-98%，同時誤報率低至0.005%和0.002%。

微步在線的安全GPT技術應用，可以幫助企業安全運營人員對相關威脅情報進行智能化歸集匯總，以便快速找到分析切入的視角和線索，做出更明智的決策，提高工作效率，進而實現對風險的有效管控。

同時，薛鋒對安全GPT技術的應用前景表示了極大的認可，“我們演示的只是不到1/10的安全GPT，大模型在安全的應用是一場萬里長征，目前才剛剛開始。”

展望安全GPT的未來，薛鋒認為數據、威脅情報（TI）和AI技術會極大提升網絡安全運營的自動化、實戰化能力，“數據+TI+AI”將助力網絡安全運營從“輔助駕駛”走向“自動駕駛”時代。

微步在線創始人兼CEO薛鋒

可以肯定的是，專門面向安全領域的AI大模型對安全運營必將產生深遠的影響，正如微軟安全業務的副總裁Vasu Jakkal在《Defending at Machine Speed》演講時所說，“AI應用于安全的拐點已來”。因此，在戰略層面要高度重視AI大模型。

但在戰術層面，企業必須清醒地認識到，當前AI大模型技術在安全運營領域的應用還比較初級，應充分挖掘可以發揮AI大模型基本特長的安全運營應用場景。而在AI大模型進一步突破之前，現階段的分析型AI依然還有用武之地。

【關于科技云報道】

專注于原創的企業級內容行家——科技云報道。成立于2015年，是前沿企業級IT領域Top10媒體。獲工信部權威認可，可信云、全球云計算大會官方指定傳播媒體之一。深入原創報道云計算、大數據、人工智能、區塊鏈等領域。

審核編輯 黃宇