大模型加速走向真运营 安恒信息/梁浩 目录 Content 01 安全运营的现状分析 02大模型如何改变安全运营现状 03大模型应用效果总结 01 安全运营的现状分析 安全合规建设 日常运营支撑 重大活动保障 安全工作协同 落实网络安全监测预警和通报制度,建立健全网络安全风险评估和应急机制,有效识别和消除安全隐患,落实管理和技术举措,保障安全策略动态有效性、满足安全合规需求。 识别、评估和管理所面临的安全风险,并采取必要的措施并采取必要的措施来降低风险。通过网络安全运维,防范各种网络安全威胁,确保网络的安全性和可用性,使网络系统的安全性得到持续维护和提升。 在一些重大节日或重要活动等时间节点,能够7×24小时全天候安全值守,事前查漏补缺,补齐安全短板,事中实时监测,快速研判分析,事后启动应急消除事件影响,实战化要求越来越高。 针对行业应用系统或数据资源开展常态化安全监测,感知网络安全态势,结合最新情报快速通报预警,形成行业联防联控网络安全风险能力,整体提升行业网络安全保障水平。 数据量激增 随着企业信息化程度的提升,日志、告警等安全数据呈指数级增长,传统SIEM系统的数据处理能力已难以应对。 威胁情报集成不足 传统SIEM系统在整合外部威胁情报方面能力有限,导致无法及时识别新型威胁。 数据类型多样化 除了结构化数据,非结构化数据(如文本、图片、视频等)在安全分析中的价值日益凸显,而传统SIEM系统对此类数据的处理能力有限。 面临的挑战与局限性 检测规则僵化 基于预设规则的检测方式无法应对不断变化的威胁手法,导致漏报和误报率居高不下。 实时处理需求 面对高级威胁和零日漏洞,实时数据处理能力至关重要,传统SIEM系统在这方面存在明显不足。 响应速度慢 由于缺乏自动化响应机制,传统SIEM系统在发现威胁后往往需要人工介入,延误了最佳响应时机。 数据处理能力有瓶颈 威胁检测与响应有滞后性 检测全 分析准 关注和响应高质量、高风险和高确定性告警! 威胁检测覆盖度与依赖人 现实情况:高级威胁(或针对性攻击)所采用的技术,如攻击特征隐藏/特征消除、无代码攻击、白利用、加密通信等,具有隐蔽性增强、潜伏周期长的特点,想要实现精准检测很困难,通常会产生大量异常/可疑类的行为特 征、统计特征告警(如ueba、时间序列异常检测、加密通信算法检测等告警),在精准检测以求降噪和降低告警分析工作量的场景下,不得不降低或关闭此类泛化的弱信号检测,造成高级威胁漏报。 检测全 分析准 关注覆盖更多的攻击技战术! 威胁检测覆盖度与依赖人 现实情况: •有经验的分析师1天能分析多少告警? •有经验的分析师是否整天都在分析告警? •有经验的分析师是否一直愿意分析告警? 一个"典型的"中型企业每日告警量:针对已知威胁1k-10k告 警,针对未知威胁10k-100k告警。在这海量告警中,有明显特征的告警:至少需要分析师“看一眼”->核查误报,打标结 果,提交处置;无明显特征的告警:更需要借助工具(如splunk)做多步详细调查(统计、聚合、趋势分析、上下文挖 掘、情报分析和验证等)->规避漏报,识别风险,远程取证。 需响应 事件调查 真·运营之坡 原始安全事件 聚合 高置信告警 研判 检测 原始告警 日志 观测 数据源 安全大数据->事件小数据的逐层精炼工程 02 大模型如何改变安全运营现状 生成式AI应用级别 描述 示例 L1Tool 人类完成所有工作,没有任何明显的AI辅助 绝大部分应用 L2Chatbot 人类直接完成绝大部分工作。人类向AI询问意见,了解信息。AI提供信息和建议但不直接处理工作 初代ChatGPT L3Copilot 人类和AI进行写作,工作量相当。AI根据人类要求完成工作初稿,人类进行目标设定,修改调整,最后确认 GithubCopilotMidjourneyChatGPTwithPlugin L4Agent AI完成绝大部分工作,人类负责设定目标、提供资源和监督结果。AI完成任务拆分,工具选择,进度控制,实现目标后自助结束工作 AutoGPT L5Intelligence 完全无需人类监督,AI自主拆解目标,寻找资源,选择并使用工具,完成全部工作,人类只需给出初始目标 类冯·诺依曼机器人或者人? AI最终目的是释放人 规则到思考-客户环境自适应 模块化控制业务,提供方案灵活性 现有平台业务整合,对外一个平台 产品设计-思考AI从简单使用AI到AI原生 围绕运营体系集成基础产品能力 AI原生 安全运营平台 数据利用-知识驱动数据与知识生态驱动 与MSS统一,沉淀全公司运营体系 智能化-自动化 工程目标AI目标 内容安全(天然匹配,识别恶意/有害/敏感内容)->面相公众的信息发布审核、内容风险治理 数据安全(非结构化数据的分析和处 理)->数据分级分类(数据安全的基础)、API风险监测、DLP告警分析 攻击特征/代码识别(语义理解能力)- >基础安全方向的核心需求(威胁检测 +告警研判) 世界知识赋能(安全基础培训) 类比自动驾驶L3,人机协作 告警分析和解释:攻击特征分析、攻击代码解释、攻击过程还原 误报判断:DLP、社工钓鱼、业务风险等类型告警辅助判断 报告生成:安全事件分析报告,Summary能力 辅助规则生成与调优:辅助生成和优化各类规则和配置文件 01 特定问题处理的实操经验 例如,在处理失陷账号告警时,大模型可能无法准确判断告警的真实性,需要通过电话、钉钉、邮件等强身份联系方式进行二次确认。 02 03 04 05 自我知识强化和持续学习 大模型本身的训练成本极高,无法根据用户的反馈和不同的环境条件进行输出,导致无法在客户现场快速适应达到最佳效果。 大量结构化数据分析 在自然语言处理、推荐系统等领域,大模型需要处理大量结构化数据。然而,由于性能和成本的限制,大模型在这些场景下的应用可能受到一定程度的制约。 海量数据处理 大模型在处理处理长上下文、海量数据时,受到token限制,性能和开销较高。在海量数据的处理模式下对大模型提出了更高的要求。 复杂任务 大模型在处理复杂任务时,需要进行慢思考,即“let’sthinkstepbystep”。这是因为大模型在处理复杂任务时,需要充分考虑各种因素,以确保得出正确的结论。 安全运营团队的组织架构变化-Agent员工化 任务分工与协作管理 安全运营主管/架构师-人类 任务认领与分解执行 安全运营团队-AIAgents+人类 自动化调查 安全分析师-AIAgent 自动化响应 安全运维-AIAgent+人类 自动化预警和汇报 安全管家-AIAgent 自动化蓝军 安全蓝军-AIAgent 03 大模型应用效果总结 产品名称 AI加持,能力提升 智能分析平台 恒脑自动研判 调用恒脑研判分析能力,快速获取恶意、误报、未知等研判结果,并可以发起自动联动处置 恒脑辅助研判 半自动化研判手段,降低分析的门槛,提高研判分析的效率与准确性。 智能运营助手 提供智能巡检分析、日志智能解析、日志标准校验、告警类型映射、事件场景建设等能力。 智能响应平台 智能检索 通过自然语言即可实现告警数据的检索。 智能联动 用户无需了解安全设备的技术细节和命令语法,通过自然语言即可完成相关操作,简化操作流程,提高效率。 智能沙箱分析 快速分析得出报告安全结论 智能管理平台 对话式问答 通过对话沟通和思维链提示,提供免费安全私人助手。 智能报告 低代码开发,自动生成DIY安全报告。 数字人 人机协同,提供网络安全运营新颖形式。 智能教育培训 强化网络安全意识,提供免费网络安全助教。