证券研究报告|2023年09月27日 信息安全深度剖析6: 海外巨头引领安全大模型,安全产业是AI价值洼地 行业研究·深度报告 投资评级:超配(维持评级) 证券分析师:熊莉xiongli1@guosen.com.cn证券投资咨询执业资格证书编码:S0980519030002 证券分析师:库宏垚kuhongyao@guosen.com.cn证券投资咨询执业资格证书编码:S0980520010001 报告摘要 生成式AI在网络安全里的应用成为业界共识。根据IDC数据,业界普遍认为在IT领域,生成式AI对网络安全、IT运维等领域影响最大。尤其是大模型和安全知识库的结合,对耗时耗人的安全运维将产生巨大变革。AI对网络安全攻防两端均带来影响,一方面降低了攻击者成本,一方面也提供了安全检测和运维的有利工具。从安全厂商角度来看,当前AI主要带来三大类产品:安全检测产品(EDR、防火墙等)、自动化智能运维(Copilot、XDR、SOC等)、使用大模型的数据安全产品(DLP等)。 海外巨头厂商持续投入AI+安全,大模型将大幅提升运维能力。微软、谷歌这类大模型厂商,也均推出安全领域里的AI大模型产品,进一步验证大模型在安全领域的应用价值。以PaloAltoNetworks、Crowdstrike等厂商为代表,海外龙头安全厂商一直保持高强度AI投入,即使在早期的检测类模型应用背景,Crowdstrike也凭借AI技术颠覆了端点安全的市场格局。当前各大厂商的AI创新均以安全运维为核心,如PaloAlto的XSIAM是面向AI重构的SOC平台;Crowdstrike也推出了CharlotteAI运维助手。Cloudflare推出了保护用户使用大模型的数据安全产品CloudflareOneforAI;同时基于其向边缘云的持续拓展,也在致力成为边缘端AI推理的工作负责。 国内安全厂商积极探索大模型应用,已形成初步案例。奇安信推出了Q-GPT和大模型卫士,形成客户签约;深信服快速迭代,推出了安全GPT2.0,已有50多家客户试用;安恒信息推出了恒脑·安全垂域大模型,已经过大运会、亚运会检验;绿盟科技推出风云卫安全大模型,进一步提升智慧安全3.0能力;启明星辰、天融信等厂商也推出相关产品。与海外方向一致,国内厂商也致力提升安全运维能力。 投资建议:看好AI提升网络安全产业价值,维持“超配”评级。AI在安全运维里为甲乙双方节省的时间和人员成本是显而易见的,且拓展了传统安全的能力边界,不管是利用AI检测未知威胁,还是处理海量事件,均是AI带来的崭新价值,因此我们持续看好网络安全产业,维持“超配”评级。重点关注在AI大模型积极投入的厂商,奇安信、深信服、安恒信息、绿盟科技、启明星辰、天融信等。 风险提示:宏观经济下行风险;行业竞争加剧风险;AI大模型和算力等产业发展不及预期;AI相关政策推进不及预期。 目录 01 网络安全是大模型极佳落地场景 02 海外龙头安全厂商AI应用成熟,大模型大幅提升安全运维能力 03 国内安全厂商积极探索大模型应用,已形成初步案例 04 投资建议:看好AI提升网络安全产业价值,维持“超配”评级 网络安全是AI大模型在IT领域的最具期待的应用场景 •网络安全是IT领域生成式AI应用的共识。根据IDC关于“GenAI对哪些IT技术带来颠覆影响”的最新数据研究,世界范围来看均认为生成式AI对网络安全和合规的影响最大,还包括IT和云的运维、硬件和软件支持领域,整体上均可涵盖在IT和安全运维方向。通过AI和自动化技术实现安全运维,在本轮大模型热潮之前,也是产业持续探索的方向。 •多个安全领域均需要AI和自动化加成。根据IDC关于“组织中哪些安全流程和功能需要更高级别的自动化”的最新数据研究,安全监管、数据安全和隐私管理、防火墙管理、事件检测和响应等环节均是业内关注的应用重点。业内对AI技术的应用已有积极探索,如早期的下 一代防火墙上AIops的引入,以及当前安全领域XDR等产品的发展方向。 •AI影响网络安全攻防两端,市场空间广阔。Gartner曾警告称,“到2025年,利用生成式人工智能的攻击将迫使具有安全意识的组织降低检测可疑活动的阈值,产生更多错误警报,从而需要更多(而不是更少)人工响应。”根据PrecedenceResearch数据,2022年全球基于AI的网络安全市场规模为174亿美元,预计2032年将达1027.8亿美元,2022-2032年复合年均增长率约19.43%。 GenAI对哪些IT技术带来颠覆影响 资料来源:IDC2023、国信证券经济研究所整理 组织中哪些安全流程和功能需要更高级别的自动化 资料来源:IDC2023、国信证券经济研究所整理 AI带来网络安全的思考——攻守两方均迎来升级 •AI大模型和应用本身的安全问题:和任何新的IT应用一样,如智能汽车、物联网带来的新安全问题,AI大模型本身也会存在漏洞,数据泄露等问题。常规的IT网络安全建设也是必不可少的,这部分和所有IT系统一样,模型厂商需要加强自身的安全建设。 •AI大模型应用双方的数据安全:模型方,训练数据必须脱敏、合规,与人类道德对齐等,这里需要传统数据安全的建设。用户方,也要建设合规使用场景,如不能投喂敏感数据,三星集团就曾因向ChatGPT提问中包含敏感信息,导致公司数据泄露。这部分更多也是传统安全建设,而且更依赖模型方(如训练数据的广义安全)、用户方自身的管理和合规(如DLP和访问控制等措施)。 •AI诈骗等安全问题:需要严格的内容审核机制,监管和模型方主要负责。例如,对于AI生成内容可以通过水印等方式标注,通过反生成式AI技术来鉴别是否由AI生成的产品。基于AI生成内容可能引发的问题,需要全社会多方角色共同治理。 •AI降低了网络攻击成本,网络犯罪将增加。其一、ChatGPT可以让一些几乎没有编程经验人编写可用于间谍、勒索软件、恶意垃圾邮件的软件;根据网络安全公司Darktrace公布的数据,攻击者使用ChatGPT造成社会工程攻击量增加了135%。其二、AI大模型被黑客训练后的“黑化”,如黑客组织训练的WormGPT,集中在恶意软件相关的数据上训练,专为恶意活动而设计,输出没有道德限制,可以被要求执行各种恶意任务,收费标准是每月60欧元。网络安全属于一种社会工程学,当攻击成本下降后,也必然推动防守方安全建设的投资加大。 •AI也加强了传统防护技术,大模型提供了新的运维范式。AI技术引入网络安全已经应用多年,多为小模型在检测类应用中的场景。在检测网络威胁上,AI比传统特征库匹配技术更进一步,能在特征被提取入库之前发现病毒或者威胁存在。在运维方面,大数据和AI分析帮助企业实现安全运维自动化。对于网络安全行业,AI技术的引入是提升自身能力的新方法,已有像Crowdstrike以AI技术颠覆传统终端安全市场。当前AI大模型已经引发了安全界广泛投入,AI运维成为未来新范式。 安全厂商能提供三类基于AI应用的能力 •检测模型类产品,提升安全检测能力。在传统病毒引擎基础上,AI基于机器学习,行为分析,结合海量威胁情报后能实现未知威胁的检测, 大幅提升了传统产品的检测能力,主要应用在EDR、防火墙、APT等产品。大模型出现后,未来AI检测能力将进一步提升。 •运维模型类产品,目标实现自动化智能运维。传统AI技术一直在安全运维里持续投入,比如XDR希望实现自动化检测和响应。大语言模型结合安全知识库,首先可以形成Copilot助手类产品,提供中级安全分析师的能力,减轻告警疲劳。大模型也能和XDR、SOC等结合,形成自动化日志、告警、事件的处理能力,大幅提升运维效率。 •安全厂商提供用户在使用大模型过程中的数据安全能力。用户在大模型使用中,存在敏感数据泄露等风险,安全厂商可以提供传统安全技 术来进行规避,如DLP、访问控制等。 安全厂商能提供的三类AI安全能力 资料来源:PaloAltoNetworks、国信证券经济研究所整理 网络安全技术中AI能力的应用——检测和响应是核心,早期AI应用已有探索 •网络安全技术逻辑:网络安全本质是发现问题和响应问题(包括解决),最好是在问题出现之前予以解决。 •发现问题:传统技术是病毒库、特征库、威胁库匹配,基于已知信息。利用AI技术,可以提升检测能力,在大量数据训练后,可以识别出未被标记的特征,实现未知威胁的检测。这部分能力主要是依赖传统AI小模型(如监督学习等),当前已在各类安全产品中有成熟应用,如端点安全,沙箱,各类安全厂商均有布局。 •解决问题:传统发现问题后,只能告警、日志,部分攻击也可以直接进行阻断。但依然有大量的人力工作,即处理大量各种不够准确的告警和复杂的日志,各种网络管理的规范和运维,依靠人力判断网络运行的潜在安全问题,因此业界一直在探索SOAR(安全编排、自动化和响应)、SIEM(安全信息和事件管理)、SOC(安全运营中心)等产品和方案,并不断加入AI技术以实现自动化安全。 •大模型与知识库结合是应用落地趋势,安全知识库具备极佳场景。大模型在医疗、法律等领域的应用已经初见成效,其行业特别是有大量的文本知识积累,具备较强的专业壁垒,依赖从业人员的经验等;大模型的能力能极大提升知识使用的效率。同样地,大模型也能在安全运营领域充分发挥作用,例如大量的日志、告警、事件、情报等信息数据,均是标准化的“类安全语言”,也是行业持续积累的知识库;各云、网、端不同设备和软硬件产生的数据,亟待进行上下文分析,并对企业整体网络运营产生推理作用,大幅减少甲乙双方安全运维人力。所以安全运维是非常适合大模型落地的AI赋能场景,微软推出安全copilot,谷歌推出Sec-PaLM安全大模型,均是目标在解决问题方面,实现自动化、智能化,减少运维压力。 AI算法在网络安全中的应用 机器学习类型 训练目的 网络安全应用 监督学习 以标记数据训练,目标教它在遇到新数据时执行任务 在良性和恶意样本上训练模型,以教会它们预测新样本是否是恶意的 无监督学习 以无标记数据训练,目标寻找数据中的结构关系和模式 用于发现大型数据池中的新攻击模式或对手行为(例如异常检测) 强化学习 反复试验来学习,目标在最大化累积奖励,对于识别解决问题的创造性和创新方法特别有用 可应用于网络物理系统、自主入侵检测和分布式拒绝服务(DDOS)攻击的解决方案 资料来源:Crowdstrike、国信证券经济研究所整理 目录 01 网络安全是大模型极佳落地场景 02 海外龙头安全厂商AI应用成熟,大模型大幅提升安全运维能力 03 国内安全厂商积极探索大模型应用,已形成初步案例 04 投资建议:看好AI提升网络安全产业价值,维持“超配”评级 谷歌安全大模型——Sec-PaLM2集AI安全能力大成 •谷歌PalM2模型也推出安全垂直应用模型Sec-PaLM2。在2023年RSA大会上,谷歌推出了GoogleCloudSecurityAIWorkbench,这是由Sec-PaLM提供支持的可扩展平台。Sec-PaLM是谷歌PaLM模型的一个分支,针对安全用例和数据对其进行微调,如关于漏洞、恶意软件、威胁指标和攻击者档案的一线情报。其中,谷歌在22年9月收购威胁情报厂商Mandiant,提供了大量数据。埃森哲成为第一个合作伙伴。 •Sec-PaLM2安全模型集各类AI安全应用于一身。Sec-PaLM解决三大安全挑战:威胁过载、繁琐的工具和人才缺口。1)威胁过载:利用AI及时检测威胁并做出响应,避免威胁感受后蔓延。2)繁琐的工具:生成式AI减少组织的安全工具和控制手段,如AssuredOSS利用AI更好的集成漏洞管理方案,soc实时在线检测组织的恶意脚本并警报,Sec-PaLM快速查找威胁情报并采取行动,最终减轻组织的安全工作量。3)人才缺口:Sec-PaLM让安全更易于理解,提升安全民主化,让初级安全分析师能力快速提升,如ChronicleAI类似于Crowdstrike的Char