大模型加速走向真运营

大模型加速走向真运营 安恒信息/梁浩 目录 Content 01 安全运营的现状分析 02大模型如何改变安全运营现状 03大模型应用效果总结 01 安全运营的现状分析 安全合规建设 日常运营支撑 重大活动保障 安全工作协同 落实网络安全监测预警和通报制度，建立健全网络安全风险评估和应急机制，有效识别和消除安全隐患，落实管理和技术举措，保障安全策略动态有效性、满足安全合规需求。 识别、评估和管理所面临的安全风险，并采取必要的措施并采取必要的措施来降低风险。通过网络安全运维，防范各种网络安全威胁，确保网络的安全性和可用性，使网络系统的安全性得到持续维护和提升。 在一些重大节日或重要活动等时间节点，能够7×24小时全天候安全值守，事前查漏补缺，补齐安全短板，事中实时监测，快速研判分析，事后启动应急消除事件影响，实战化要求越来越高。 针对行业应用系统或数据资源开展常态化安全监测，感知网络安全态势，结合最新情报快速通报预警，形成行业联防联控网络安全风险能力，整体提升行业网络安全保障水平。 数据量激增 随着企业信息化程度的提升，日志、告警等安全数据呈指数级增长，传统SIEM系统的数据处理能力已难以应对。 威胁情报集成不足 传统SIEM系统在整合外部威胁情报方面能力有限，导致无法及时识别新型威胁。 数据类型多样化 除了结构化数据，非结构化数据（如文本、图片、视频等）在安全分析中的价值日益凸显，而传统SIEM系统对此类数据的处理能力有限。 面临的挑战与局限性 检测规则僵化 基于预设规则的检测方式无法应对不断变化的威胁手法，导致漏报和误报率居高不下。 实时处理需求 面对高级威胁和零日漏洞，实时数据处理能力至关重要，传统SIEM系统在这方面存在明显不足。 响应速度慢 由于缺乏自动化响应机制，传统SIEM系统在发现威胁后往往需要人工介入，延误了最佳响应时机。 数据处理能力有瓶颈 威胁检测与响应有滞后性 检测全 分析准 关注和响应高质量、高风险和高确定性告警！ 威胁检测覆盖度与依赖人 现实情况：高级威胁（或针对性攻击）所采用的技术，如攻击特征隐藏/特征消除、无代码攻击、白利用、加密通信等，具有隐蔽性增强、潜伏周期长的特点，想要实现精准检测很困难，通常会产生大量异常/可疑类的行为特 征、统计特征告警（如ueba、时间序列异常检测、加密通信算法检测等告警），在精准检测以求降噪和降低告警分析工作量的场景下，不得不降低或关闭此类泛化的弱信号检测，造成高级威胁漏报。 检测全 分析准 关注覆盖更多的攻击技战术！ 威胁检测覆盖度与依赖人 现实情况： •有经验的分析师1天能分析多少告警？ •有经验的分析师是否整天都在分析告警？ •有经验的分析师是否一直愿意分析告警？ 一个"典型的"中型企业每日告警量：针对已知威胁1k-10k告 警，针对未知威胁10k-100k告警。在这海量告警中，有明显特征的告警：至少需要分析师“看一眼”->核查误报，打标结 果，提交处置；无明显特征的告警：更需要借助工具（如splunk）做多步详细调查（统计、聚合、趋势分析、上下文挖 掘、情报分析和验证等）->规避漏报，识别风险，远程取证。 需响应 事件调查 真·运营之坡 原始安全事件 聚合 高置信告警 研判 检测 原始告警 日志 观测 数据源 安全大数据->事件小数据的逐层精炼工程 02 大模型如何改变安全运营现状 生成式AI应用级别 描述 示例 L1Tool 人类完成所有工作，没有任何明显的AI辅助 绝大部分应用 L2Chatbot 人类直接完成绝大部分工作。人类向AI询问意见，了解信息。AI提供信息和建议但不直接处理工作 初代ChatGPT L3Copilot 人类和AI进行写作，工作量相当。AI根据人类要求完成工作初稿，人类进行目标设定，修改调整，最后确认 GithubCopilotMidjourneyChatGPTwithPlugin L4Agent AI完成绝大部分工作，人类负责设定目标、提供资源和监督结果。AI完成任务拆分，工具选择，进度控制，实现目标后自助结束工作 AutoGPT L5Intelligence 完全无需人类监督，AI自主拆解目标，寻找资源，选择并使用工具，完成全部工作，人类只需给出初始目标 类冯·诺依曼机器人或者人？ AI最终目的是释放人 规则到思考-客户环境自适应 模块化控制业务，提供方案灵活性 现有平台业务整合，对外一个平台 产品设计-思考AI从简单使用AI到AI原生 围绕运营体系集成基础产品能力 AI原生 安全运营平台 数据利用-知识驱动数据与知识生态驱动 与MSS统一，沉淀全公司运营体系 智能化-自动化 工程目标AI目标 内容安全（天然匹配，识别恶意/有害/敏感内容）->面相公众的信息发布审核、内容风险治理 数据安全（非结构化数据的分析和处 理）->数据分级分类（数据安全的基础）、API风险监测、DLP告警分析 攻击特征/代码识别（语义理解能力）- >基础安全方向的核心需求（威胁检测 +告警研判） 世界知识赋能（安全基础培训） 类比自动驾驶L3，人机协作 告警分析和解释：攻击特征分析、攻击代码解释、攻击过程还原 误报判断：DLP、社工钓鱼、业务风险等类型告警辅助判断 报告生成：安全事件分析报告，Summary能力 辅助规则生成与调优：辅助生成和优化各类规则和配置文件 01 特定问题处理的实操经验 例如，在处理失陷账号告警时，大模型可能无法准确判断告警的真实性，需要通过电话、钉钉、邮件等强身份联系方式进行二次确认。 02 03 04 05 自我知识强化和持续学习 大模型本身的训练成本极高，无法根据用户的反馈和不同的环境条件进行输出，导致无法在客户现场快速适应达到最佳效果。 大量结构化数据分析 在自然语言处理、推荐系统等领域，大模型需要处理大量结构化数据。然而，由于性能和成本的限制，大模型在这些场景下的应用可能受到一定程度的制约。 海量数据处理 大模型在处理处理长上下文、海量数据时，受到token限制，性能和开销较高。在海量数据的处理模式下对大模型提出了更高的要求。 复杂任务 大模型在处理复杂任务时，需要进行慢思考，即“let’sthinkstepbystep”。这是因为大模型在处理复杂任务时，需要充分考虑各种因素，以确保得出正确的结论。 安全运营团队的组织架构变化-Agent员工化 任务分工与协作管理 安全运营主管/架构师-人类 任务认领与分解执行 安全运营团队-AIAgents+人类 自动化调查 安全分析师-AIAgent 自动化响应 安全运维-AIAgent+人类 自动化预警和汇报 安全管家-AIAgent 自动化蓝军 安全蓝军-AIAgent 03 大模型应用效果总结 产品名称 AI加持，能力提升 智能分析平台 恒脑自动研判 调用恒脑研判分析能力，快速获取恶意、误报、未知等研判结果，并可以发起自动联动处置 恒脑辅助研判 半自动化研判手段，降低分析的门槛，提高研判分析的效率与准确性。 智能运营助手 提供智能巡检分析、日志智能解析、日志标准校验、告警类型映射、事件场景建设等能力。 智能响应平台 智能检索 通过自然语言即可实现告警数据的检索。 智能联动 用户无需了解安全设备的技术细节和命令语法，通过自然语言即可完成相关操作，简化操作流程，提高效率。 智能沙箱分析 快速分析得出报告安全结论 智能管理平台 对话式问答 通过对话沟通和思维链提示，提供免费安全私人助手。 智能报告 低代码开发，自动生成DIY安全报告。 数字人 人机协同，提供网络安全运营新颖形式。 智能教育培训 强化网络安全意识，提供免费网络安全助教。