AI驅(qū)動(dòng)安全已是大勢所趨,未來網(wǎng)絡(luò)攻防,得AI者得天下。”2024年6月5日上午,奇安信集團(tuán)董事長齊向東在2024全球數(shù)字經(jīng)濟(jì)大會(huì)數(shù)字安全高層論壇暨北京網(wǎng)絡(luò)安全大會(huì)戰(zhàn)略峰會(huì)(以下簡稱“BCS大會(huì)”)上表示。
近年來,網(wǎng)絡(luò)攻防對抗烈度持續(xù)升級,網(wǎng)絡(luò)攻擊造成的損失日益嚴(yán)重。根據(jù)奇安信威脅情報(bào)中心發(fā)布的《2023年度APT報(bào)告》顯示,全球至少有80個(gè)國家遭遇過APT(高級長期威脅)攻擊。被盯上的政企機(jī)構(gòu)或是業(yè)務(wù)系統(tǒng)被癱瘓,或是機(jī)密數(shù)據(jù)被竊取,甚至直接威脅國家安全。
齊向東指出,網(wǎng)絡(luò)安全防護(hù)人員數(shù)量和資源不足,使網(wǎng)絡(luò)攻擊防不勝防,也是當(dāng)前網(wǎng)絡(luò)安全的最大漏洞。奇安信對大約100家萬人規(guī)模以上企業(yè)的告警處置情況調(diào)查顯示,86%的企業(yè),網(wǎng)絡(luò)安全運(yùn)營人員不到10人,對網(wǎng)絡(luò)告警的研判比例不足5%;13%的企業(yè),網(wǎng)絡(luò)安全運(yùn)營人員約為10-30人,對網(wǎng)絡(luò)告警的研判比例約5%-10%;僅有1%的企業(yè),網(wǎng)絡(luò)安全運(yùn)營人員超過30人,對網(wǎng)絡(luò)告警的研判比例達(dá)到10%以上。
“解決有限的安全資源和100%的安全追求之間的矛盾,要靠AI驅(qū)動(dòng)安全。”齊向東認(rèn)為,人工智能已帶來破解網(wǎng)絡(luò)安全主要矛盾、實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)能力飛躍的“核彈級”技術(shù)。
AI驅(qū)動(dòng)網(wǎng)絡(luò)防護(hù)能力指數(shù)級躍升
“攻擊者突破安全防線有幾個(gè)階段,先突破單點(diǎn)設(shè)備、再突破防護(hù)體系。安全事件被發(fā)現(xiàn)后,還要想辦法隱匿蹤跡。”齊向東介紹,AI在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用已經(jīng)可以覆蓋這幾個(gè)階段,并帶來網(wǎng)絡(luò)防護(hù)能力數(shù)十倍乃至上千倍的提升。
首先,在單點(diǎn)設(shè)備的檢測上,AI可以帶來安全能力十倍級的提升。通過人工來綜合分析研判設(shè)備產(chǎn)生的海量告警,很容易遭遇人員、精力短缺問題。這導(dǎo)致安全專家只能研判少量關(guān)鍵告警,超90%的告警被迫放棄,其中隱藏的大量真實(shí)威脅被忽略,攻擊者趁虛而入。人工智能依托算力資源和持續(xù)訓(xùn)練后的研判能力,打破了人力資源和效率邊界,能減少90%的漏報(bào),實(shí)現(xiàn)安全能力10倍級提升。
其次,在體系化防御上,AI賦能綜合分析和全局聯(lián)動(dòng),帶來安全能力百倍級提升。體系化防御的核心,是多種網(wǎng)絡(luò)安全設(shè)備的有機(jī)結(jié)合。由于不同產(chǎn)品之間的數(shù)據(jù)傳輸共享、相互訪問、遠(yuǎn)程操作非常頻繁,漏報(bào)和誤報(bào)問題在這一階段呈現(xiàn)指數(shù)級增長。AI不僅可以知道在什么場景下、去調(diào)哪個(gè)接口、取什么數(shù)據(jù),還能根據(jù)實(shí)際變化進(jìn)行動(dòng)態(tài)調(diào)整,瞬時(shí)激發(fā)各個(gè)設(shè)備的安全能力,將遺漏的威脅從10%降低到千分之一,達(dá)到安全能力百倍級提升。
其三,在溯源和反制上,AI依憑智能化、自動(dòng)化,可實(shí)現(xiàn)響應(yīng)能力的千倍級提升。單設(shè)備檢測疊加體系化防御,仍無法保證萬無一失,可能有千分之一的幾率漏掉單個(gè)威脅,讓攻擊者得逞。AI的邏輯推理、自我決策能力,可以幫助實(shí)現(xiàn)安全體系中不同產(chǎn)品的互操作,實(shí)現(xiàn)事件溯源和處置的高度智能化和自動(dòng)化,處理時(shí)間從此前的一天縮短到分鐘級甚至秒級,實(shí)現(xiàn)響應(yīng)能力的千倍級提升。
AI釋能仍需提升三大要素
“既然AI這么好,是不是趕緊裝上一個(gè)AI大模型就可以了?”齊向東給出的答案是并非如此。
在齊向東看來,AI快速發(fā)展的三大核心要素是數(shù)據(jù)、算力和算法,AI在網(wǎng)絡(luò)安全領(lǐng)域釋放強(qiáng)大潛能也有賴于三大必要條件。
首先,需要具有全而新的高質(zhì)量數(shù)據(jù),為AI訓(xùn)練和應(yīng)用提供基礎(chǔ)支撐。一方面,要有足夠多的基礎(chǔ)安全數(shù)據(jù)用于訓(xùn)練安全大模型。另一方面,要有足夠貼近實(shí)戰(zhàn)的一手原始語料用于大模型推理。基于這種全而新的高質(zhì)量數(shù)據(jù)訓(xùn)練出來的大模型,精確性和實(shí)用性才能遠(yuǎn)超未優(yōu)化的通用模型。
據(jù)介紹,奇安信擁有的安全數(shù)據(jù)規(guī)模位居全國首位,為大模型預(yù)訓(xùn)練打下了堅(jiān)實(shí)基礎(chǔ);奇安信在實(shí)戰(zhàn)中積累的豐富、先進(jìn)的安全知識(shí)和經(jīng)驗(yàn),既是訓(xùn)練高水平安全大模型的核心要素,也可作為大模型推理時(shí)所需的最新實(shí)時(shí)信息,確保生成精準(zhǔn)、高價(jià)值的安全解決方案。
其次,需要體系化的網(wǎng)絡(luò)安全建設(shè),為AI發(fā)揮效率創(chuàng)造平臺(tái)。網(wǎng)絡(luò)安全防護(hù)有賴于體系化協(xié)同。2019年,奇安信提出建設(shè)內(nèi)生安全體系,把網(wǎng)絡(luò)安全設(shè)備和業(yè)務(wù)流轉(zhuǎn)、不同層次的信息系統(tǒng)有機(jī)結(jié)合起來,感知、響應(yīng)對業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的任何破壞行為。當(dāng)前,通過AI賦能內(nèi)生安全體系,不僅可以實(shí)現(xiàn)網(wǎng)絡(luò)安全系統(tǒng)和客戶業(yè)務(wù)系統(tǒng)的完美融合,更能實(shí)現(xiàn)網(wǎng)絡(luò)安全響應(yīng)從滯后到實(shí)時(shí)的大躍升,全時(shí)段瞬時(shí)響應(yīng)成為可能,也為AI實(shí)時(shí)發(fā)揮防護(hù)功能和學(xué)習(xí)最新技術(shù)提供了真實(shí)海量場景。
其三,需要標(biāo)準(zhǔn)的統(tǒng)一,為AI驅(qū)動(dòng)安全效能發(fā)揮掃除障礙。訓(xùn)練好的安全大模型,能否取得好效果取決于設(shè)備和體系是否有統(tǒng)一的標(biāo)準(zhǔn)。在齊向東看來,標(biāo)準(zhǔn)的統(tǒng)一至少包括兩個(gè)方面:一方面,數(shù)據(jù)輸入標(biāo)準(zhǔn)的統(tǒng)一,讓AI能通過標(biāo)準(zhǔn)系統(tǒng)讀懂“多國語言”,完成體系化分析;另一方面,指令輸出標(biāo)準(zhǔn)的統(tǒng)一,讓AI實(shí)現(xiàn)跨設(shè)備、跨系統(tǒng)的能力協(xié)同和全局聯(lián)動(dòng)。
“統(tǒng)一度量衡,功在當(dāng)代,利在千秋。”齊向東呼吁,進(jìn)入AI驅(qū)動(dòng)安全的新紀(jì)元,全行業(yè)要在數(shù)據(jù)輸入、指令輸出兩大關(guān)鍵環(huán)節(jié)實(shí)現(xiàn)“車同軌、書同文”。
AI驅(qū)動(dòng)安全:奇安信在行動(dòng)
“認(rèn)識(shí)到AI的變革作用并不難,難的是用好AI、讓AI真正賦能安全。” BCS大會(huì)上,齊向東如此說。奇安信作為網(wǎng)絡(luò)安全領(lǐng)域原創(chuàng)技術(shù)策源地總體單位,在“AI驅(qū)動(dòng)安全”這條路上率先進(jìn)行了大量探索實(shí)踐,齊向東以今年3月發(fā)售的AI戰(zhàn)略產(chǎn)品QAX-GPT安全機(jī)器人為例,分享了當(dāng)前在網(wǎng)絡(luò)安全一線落地實(shí)戰(zhàn)成績。
首先,在AI驅(qū)動(dòng)研判上,助力企業(yè)大幅提升了威脅發(fā)現(xiàn)效率。QAX-GPT安全機(jī)器人的研判效率相當(dāng)于人工的數(shù)十倍。例如,某家萬人規(guī)模的企業(yè),只有12名安全運(yùn)營人員,每天能夠研判6000條的告警,但該企業(yè)的單日告警量超過10萬,漏報(bào)率極高。使用QAX-GPT安全機(jī)器人后,該企業(yè)可以完成10萬告警全量研判,漏報(bào)率僅0.05%,揪出人工漏掉的真實(shí)告警700多條,極大提升了集團(tuán)的整體安全能力。
其次,在AI驅(qū)動(dòng)體系上,助力企業(yè)將威脅遏制提升到秒級、溯源分析提升到分鐘級。由于在事件調(diào)查、響應(yīng)處置、影響面和潛在風(fēng)險(xiǎn)評估等環(huán)節(jié)耗時(shí)耗力,某家金融企業(yè)網(wǎng)絡(luò)建設(shè)相對成熟,但事件處置效率偏低。奇安信給其提供“AI+安全運(yùn)營”方案,通過AI與防火墻、WAF、SOAR等安全產(chǎn)品的協(xié)同聯(lián)動(dòng),對安全威脅進(jìn)行快速遏制,處置時(shí)間從過去的10分鐘縮短到秒級;在復(fù)雜事件的溯源分析上,縮短到分鐘級;在評估影響面和潛在風(fēng)險(xiǎn)上,從一人一天縮短到3分鐘。
其三,AI驅(qū)動(dòng)智能攻防上,助力企業(yè)的安全能力在博弈中快速演進(jìn)迭代。“以攻促防”是提升網(wǎng)絡(luò)安全能力的重要方式。奇安信把安全機(jī)器人等產(chǎn)品相結(jié)合,打造“智能紅隊(duì)”,貫徹執(zhí)行收集信息、認(rèn)識(shí)潛在偏差、快速?zèng)Q定、采取行動(dòng)等每個(gè)步驟,讓“模擬戰(zhàn)”更有實(shí)戰(zhàn)感,把“以攻促防”變得更便捷。同時(shí),奇安信將安全機(jī)器人提供給某核電企業(yè),安排安全機(jī)器人與人工團(tuán)隊(duì)一起演習(xí),共發(fā)現(xiàn)15起安全事件,一半以上由機(jī)器人搶先識(shí)別并確認(rèn)。在高價(jià)值事件檢出率上,機(jī)器人發(fā)現(xiàn)兩個(gè)被專家遺漏的安全事件;在真實(shí)風(fēng)險(xiǎn)事件研判準(zhǔn)確率上,機(jī)器人達(dá)到100%。
其四,AI驅(qū)動(dòng)全場景升維上,助力網(wǎng)絡(luò)安全的最大效能被激發(fā)。齊向東介紹,在AI+安全開發(fā)方面,基于大模型的代碼助手不僅實(shí)現(xiàn)了代碼高效編寫,還能自動(dòng)檢測并修復(fù)潛在的安全漏洞;在AI+終端安全方面,奇安信天擎、反病毒、沙箱等產(chǎn)品深度融合安全大模型的分析能力,二進(jìn)制文件、非PE腳本類代碼等都實(shí)現(xiàn)快速分析并識(shí)別;在AI+數(shù)據(jù)安全方面,奇安信的部分?jǐn)?shù)據(jù)安全產(chǎn)品在大模型的加持下,實(shí)現(xiàn)了對數(shù)據(jù)的智能分類分級。
“未來網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展趨勢已經(jīng)明確:得AI者得安全!AI能否真正驅(qū)動(dòng)安全,則取決于數(shù)據(jù)、體系和標(biāo)準(zhǔn)。奇安信雖先行一步,但仍需要全社會(huì)共同努力!”齊向東說。