图片来源:视觉中国
若说当前网络安全行业关注度最高的技术应用方向,非AI大模型莫属,网络安全行业也在呼唤GPT尽快应用至业务。
(资料图)
随着攻防演练走向实战化,一些新变化在一次次实战演练中日益凸显。技术奔走,当前国内网络安全在攻击侧和需求侧都与以往不同,网络安全模式和产业出现相应新特征,效果导向成为了网络安全建设的落点。目前,网络安全行业已经基本告别了安全基础防护和合规建设,转而将焦点放在了安全运营与实战演练。
企业所面对的风险、资产与威胁,是近年来网络安全运营中变化最明显的部分。技术带来的问题还要靠技术解决,安全从业者还是要拥抱新技术、应对新变化,探索大数据、威胁情报、AI大模型等新技术在网络安全运营中的落地应用。
网络安全对GPT的天然需求
为什么市场呼唤安全GPT?一个重要原因在于安全运营中发生的变化越来越多,大概可以总结为三个主要方面:风险、资产、威胁。
面对风险,演习中经常能够发现:越来越多的攻击开始大量使用0day。对于软件厂商和用户来说,0day攻击是危害最大的一类攻击,它被攻击者掌握却未被软件厂商修复,在暴露前对于厂商来说是未知的风险。而现实的传播中存在大量的已知漏洞与未知漏洞,但基于成本、破坏程度等综合考虑,并不是所有的漏洞都必须立即打补丁,也存在并不用打补丁的情况。
如何对已知、未知漏洞进行修补时效上的区分和判定?是不是所有暴露出来的已知漏洞都必须修复?在一个单位面临几千到几十万个攻击中,如何区分真正成功的漏洞攻击?都需要使用技术协助区分。
资产方面,对攻击面的关注成为了新趋势。资产包括了服务、软件、中间件等,甚至人员、供应链等也会成为黑客用来突破的攻击界面。往往企业或单位的体量越大,容易暴露的攻击面也就越多。以学校为例,虽然有很多专业人员与工具进行防范检查,但是每个学生都可被作为攻击面,更现实的情况还有人员安全意识很难大幅提升,导致黑客发个邮件,发个QQ,可能就会实现欺骗、钓鱼。
说到威胁,古老的攻击方式——钓鱼,现在也钓出许多新花样。钓鱼工具日渐高级,二维码钓鱼、加企业微信钓鱼、发邮件钓鱼、附件钓鱼等等层出不穷,现在钓鱼已经跟过去鱼叉式攻击结合起来,防范难度被迫需要升级。而除了钓鱼攻击之外,还有很多覆盖范围较广、以金钱为主要目的的勒索软件,以及针对性极强的威胁——APT攻击,这对国产软件发展也造成了一定威胁。
据360发布的《2022年全球高级持续性威胁(APT)研究报告》,2022年针对中国发起的攻击活动共涉及14个APT组织,政府、教育、信息技术、科研和国防军工等15个行业领域依然是APT组织攻击活动主要的目标领域。此外,在2022年APT组织针对我国展开的攻击活动目标中,包含我国国产化操作系统和自主软件供应商,显示出了攻击活动瞄准我国自主可控领域发展的趋势。
网络安全形势复杂,而庞大的人才缺口又加剧了这一挑战。多位网络安全企业的高管层曾不同程度向钛媒体App表达过网络安全在人才方面的窘迫现状。“网安人才的缺口至少有几十万,这其中尤为缺少能够解决以上复杂难题的专家。”微步在线创始人兼CEO薛锋对钛媒体App表示。
教育部数据也印证了这一判断,据2022年9月发布的《网络安全人才实战能力白皮书》,到2027年,我国网络安全人员缺口将达327万,而高校人才培养规模为3万/年,许多行业面临着网络安全人才缺失的困境。
业界期待GPT的到来能在一定程度上缓解网络安全领域的人才压力,此前绿盟科技CTO叶晓虎也对钛媒体App透露,训练好的GPT知识储备量可以达到一年级博士生的水平。虽然GPT技术在安全的应用也是刚刚开始,但从应用表现来看,通过分析IP以及整合相关资料提高安全运营人员和安全分析师的工作效率,这样的变化已经可以给安全运营带来一些突破和创新。
据钛媒体App了解,一些网络安全客户也根据使用需求向企业提出了更细节的想法,已经有一些防御者想好了怎么使用安全GPT,他们甚至希望生成PPT,直接贴到自己的报告里面。与客户业务进行结合,与高校、用户单位共创,或许是安全GPT目前发展的适宜生态。
钛媒体App经公开数据整理
据钛媒体App不完全统计,当前已经有微软、360集团、绿盟科技、微步在线等多家网络安全公司已经基于大模型推出了对应的GPT工具,应用方向不乏安全评估、防御、威胁情报分析处置自动化、安全届智能客服等领域。可以预见的是随着越来越多的安全的企业加入对GPT的探索,网络安全运营的自动化、智能化有望进入“自动驾驶”阶段。
安全GPT的智能化潜力
自从大模型出现之后,深度学习等等都变成了“传统AI"。据了解,在传统AI应用中,已经可以依靠图数据库和AI双重支持,进行关联分析和拓线。据微步在线数据,在Windows下的PE文件和Linux下的ELF文件中,传统机器学习查杀可以做到在97%、98%检出率的情况下,保持十万分之二,十万分之五的误报率。这种机器学习模型也提高了产出率,只需要几个月时间训练模型以及后续重复训练模型可以做到极高产出。
因此,叠加GPT之后,网络安全智能化又进入了一个新阶段。“使用安全GPT的其中一个作用就是分析IP,后台通过AI算法生成对IP的判定,提供丰富信息来帮助安全人员做进一步分析和研判,提升分析效率。”薛锋对钛媒体App表示。具体来看,判定内容首先会给出域名类型的结果,再对这个IP威胁类型进行进一步分析,包括:它是不是做过扫描、是否发过逻辑邮件,扫描过端口的时间、攻击负载等,更进一步还会有相关背景或恶意关联信息的延伸介绍。
更具体一些的例子比如黑客域名控制,在过去只会得到“这是一个远程控制域名”的答案,而通过安全GPT会得到更多信息:这是个恶意的域名、注册人、注册时间,以及作为命令控制服务器能干什么事情,这个黑客的主要目的等等。
不仅如此,接下来安全GPT还会提供简单的应对方法:它会进一步告诉使用者如何防范这种蠕虫;并且还会告诉使用者这个家族可能有超过一千多个木马病毒变种,然后继续关联互联网上曾经报道过这个木马病毒文章的分析和摘要。
但是就目前来看,GPT在网安行业内的尝试不会像其它行业一样拥有大幅的能效提升,最重要的原因是“检测”这一核心的技术能力无法通过GPT准确实现。
GPT的最终效果是进行推理总结,从而辅助安全分析师、安全运营人员等提升工作效率,它并不擅长做专业的检测和判断。检测要靠专业引擎、专业工具来实现,对于判断是不是病毒这件事情还得依靠上文所提及的传统AI,利用深度学习或者它写的规则进行判定;而GPT在这个判定过程中容易根据语言导向推理呈现误报、误判的结果。“由此,在模型上我们觉得将来更多的是指令的微调。”一位网络安全领域资深专家判断。
大模型很重要,但是它无法决定终局的胜负,作为一个专业模型,它对专业知识、专业场景的理解或许更重要。“我比较认同‘数据+情报+AI就等于安全GPT’这个想法”薛锋说。他表示,数据只是我们的劳动对象,我们还是需要情报和AI,作为加工和分析数据的两种工具和手段,三者结合有可能做出好的GPT。
不过,不同背景的网络安全公司对“GPT”的研发和应用也存在路线上的差异,比如有的侧重“情报”,有的侧重“监测”,有的更偏向于“客服”,有的则跨圈做起了“AIoT”。但差异之外也有共性存在,在提出安全大模型的网络安全公司中,超半数以上明确提出了大模型的安全运营能力,大家也都不同程度的强调分析、执行等环节的自动化。
而在网络安全“GPT”的落地应用中,各大网络安全公司也分处于不同阶段,奇安信、安恒信息、绿盟科技等依旧保持着大模型研发的进行时,但相应的,他们也对大模型的实践能力规划出更多元的方向,提出更高要求;而已经发布大模型产品的公司也在持续调优,他们让基础的大模型产品率先着陆,再根据市场变动书写自己的进化论。
因此,对于安全GPT的定义可以有多种,但殊途同归,多元化的竞争环境或将为网络安全未来积累更肥沃的土壤。(本文首发钛媒体APP 作者 | 贾雨微 编辑 | 秦聪慧)