一個甲方CISO的自白:為什么選擇使用安全GPT?
摘要: 深信服安全GPT的目標即是邁向“秒級閉環(huán)”,全面解放安全運營生產(chǎn)力。讓安全GPT更智能更聰明,也讓安全業(yè)者擁有邁向更優(yōu)秀更強大的時間和空間。
我是一名甲方CISO,公司最高安全負責(zé)人。
有段時間,我有點飄。因為隨著網(wǎng)絡(luò)安全重要性的提升,CISO正從過往CIO(首席信息官)架構(gòu)中獨立出來,甚至可以向CEO直接匯報,有些CISO還能參與到企業(yè)決策工作中去。
這就意味著,時代變了,CISO肩上的責(zé)任更大,擔(dān)子更重。當(dāng)然,也意味著CISO地位高了,收入與職業(yè)前景也都水漲船高。
但是,去年某些時候,我又突然很焦慮。時代確實在變,尤其是生成式AI、AI大模型的崛起,著實讓我有些措手不及。同時我也相信,許多CISO和我一樣,多少都一臉懵逼:AI來得比野火燎原還要兇猛,擾亂了以往安全工作的舒適圈,被迫開啟了躺也躺不平、站也站不穩(wěn)的四十五度斜杠人生。
于是,我很快被時代當(dāng)頭一棒:一封釣魚郵件入侵了我司的員工郵箱,最終導(dǎo)致部分數(shù)據(jù)和賬號泄露。作為CISO,我必然要為此事背鍋。
我當(dāng)然不服,專門去研究了釣魚郵件,赫然發(fā)現(xiàn),得益于生成式AI技術(shù)的智能特性,已經(jīng)可以快捷生成定制化釣魚郵件,即不但具有針對性的內(nèi)容,且每封郵件都針對特定員工特別設(shè)計。不但看起來非常真實,而且還因為不具有共同的惡意指標,居然繞過了公司安全防御系統(tǒng)。
那一次,我深深體會到了AI傳遞的寒意。黑灰產(chǎn)已經(jīng)用上生成式AI,而我還沉浸于志得意滿的安樂圈內(nèi)。隨后,我瘋狂查閱和學(xué)習(xí)相關(guān)資料,尤其是看到Splunk發(fā)布的《2023年CISO報告:當(dāng)今安全領(lǐng)導(dǎo)者面臨的新興趨勢、威脅和戰(zhàn)略》報告,我虎軀一震。
報告顯示,70%的CISO認為,生成式 AI 將形成一種不對稱戰(zhàn)場,不可避免地讓網(wǎng)絡(luò)攻擊者處于有利位置。35%的CISO已經(jīng)將AI應(yīng)用于積極的安全應(yīng)用程序,61%的CISO可能在未來12個月內(nèi)使用AI。
時代的車輪都已經(jīng)碾壓到我臉上了,我居然還沒先行一步。在面對生成式AI攻擊時,人已經(jīng)不是雙拳難敵四手,而是凡體肉身直接面對千臂修羅。
當(dāng)然,我也是有私心的。作為一名CISO,萬一工作干不好,公司把“I”給踢了,我的職業(yè)生涯也可能就“S”了,我只能仰天長嘆“A……”。最終,我大概只是公司高層口中的一聲“CAO”。
萬幸,公司高層一致認為,生成式AI釣魚郵件只是一個開始,如果不嚴加防范,哪天公司數(shù)據(jù)老巢被人端了,我們都可能不知道是誰干的。
以彼之道還施彼身,是古人的智慧。黑灰產(chǎn)用上生成式AI,因而未來安全容不得一絲馬虎和僥幸,應(yīng)當(dāng)選擇更強的安全GPT產(chǎn)品,方能在對抗中不落下風(fēng)。
“上馬!”
老板大手一揮,資金到位,接下來就是挑選安全大模型相關(guān)產(chǎn)品。大模型是AI能力的底座,可以持續(xù)訓(xùn)練學(xué)習(xí),以不斷提升安全能力?;诖?,經(jīng)過一番調(diào)研評估,深信服安全GPT成為我們麾下一員悍將。
一定要悍,不悍不行。就像劉備若少了關(guān)羽,豈能溫酒斬華雄、斬顏良誅文丑、過五關(guān)斬六將、水淹七軍,單刀赴會。我們希望悍將比關(guān)羽還強,因為就黑灰產(chǎn)把AI往死里用的干勁,未來折騰出來的玩意兒戰(zhàn)力可能遠超呂布。它造千臂修羅,我方起碼要有千手觀音。
哪個老板不想自家安全系統(tǒng)“一夫當(dāng)關(guān),萬夫莫開”。深信服安全GPT的“悍”,我們自然做了充分的評估,它悍就悍在以下幾個方面。
01 深厚安全能力積累+國內(nèi)首發(fā)落地,已落地超130家用戶
縱觀網(wǎng)安市場,GPT類安全產(chǎn)品其實正處于爆發(fā)初期。很多時候,爆發(fā)是因為風(fēng)口而起,而安全技術(shù)往往需要積累與實踐。
“臨陣磨槍,不快也光”在安全領(lǐng)域其實只適用于臨時應(yīng)急,正如洪水來襲,沙袋筑堤,只能能擋一時水患。而安全風(fēng)險是持續(xù)性的、變化著的,就像洪水年年興起,想要更徹底抵擋洪澇災(zāi)害,還是要筑堤修壩。而固若金湯的堤壩,需要時間沉淀和經(jīng)驗積累才能鑄造。
作為CISO,選擇GPT安全產(chǎn)品,自然要考慮到安全能力的積累。比如什么時候開始切入AI安全,AI大模型訓(xùn)練又依賴于硬件設(shè)施和專家團隊。所以,我大概只能從超過十年生命的老安全廠商中去挑選相關(guān)產(chǎn)品。
基于我的要求,我了解了多家安全廠商,發(fā)現(xiàn)深信服早在2015到2016年就投身機器學(xué)習(xí)、深度學(xué)習(xí)的安全領(lǐng)域應(yīng)用,其EDR、NDR、防火墻等拳頭產(chǎn)品最核心的檢測能力基本都構(gòu)建于AI算法。
2022大模型時代開啟,深信服依靠背后的資源迅速投身安全GPT的研發(fā)訓(xùn)練。依托超過數(shù)百張A100/A800顯卡集群,400人又懂安全、又懂AI的專職碩博團隊,以及作為安全的廠商積累了超過20年的安全大數(shù)據(jù),深信服可謂是all in大模型。
另外,深信服還擁有獨一份的數(shù)據(jù)飛輪,即設(shè)立國內(nèi)首家規(guī)模最大的安全運營中心,真實的客戶問答和運營場景,提供真實的人類專家數(shù)據(jù)反饋。
深信服早在去年5月18日就發(fā)布了安全GPT,在此之前,我似乎沒聽說過其他的安全大模型產(chǎn)品,并且在我抱著懷疑的態(tài)度申請試用后,對方很快就聯(lián)系我溝通測試,短短幾周便能夠部署上線,完全超出我的預(yù)期。
“不打PPT概念,深信服安全GPT是玩真的。”年初對方工作人員自豪地跟我講,深信服安全GPT已經(jīng)在超過130家用戶的真實環(huán)境中落地。這么多組織單位已經(jīng)領(lǐng)先一步,而我們才剛剛開始追趕時代的浪潮。
02 突出的“語言”能力,高效解析安全文本
我司的防御體系部署了多家廠商安全設(shè)備,在實測過程中發(fā)生了一件讓我感到震驚的事,就是深信服安全GPT檢測大模型在沒有任何先驗知識的前提下,第一時間獨家檢出某產(chǎn)品遠程命令執(zhí)行0day漏洞攻擊。
要知道,我以前對人工智能的理解,就是覺得AI是建立在人類灌輸?shù)闹R上的機械行為,叫AI智能實則是抬舉了AI。這一次,我深深感受到了機器智能的厲害之處。
帶著我的好奇,我主動找到深信服產(chǎn)品專家溝通,一番問東問西,人家也沒太過藏著掖著,告訴了我一些基本原理:
原來,通過海量的HTTP流量、日志、代碼等數(shù)據(jù)的預(yù)訓(xùn)練而成的深信服大模型,具備了HTTP流量理解能力、代碼理解能力、攻防對抗理解能力和安全常識理解能力,其綜合能力類似一個攻防專家,能夠研判各類高對抗攻擊。
而這些能力的關(guān)鍵,是高質(zhì)量的安全語料積累與數(shù)據(jù)工程實踐。深信服擁有上千億Token安全和通用語料,覆蓋攻擊手法、漏洞、黑客工具、威脅情報等領(lǐng)域,通用語料保證模型通用能力不遺忘。
此外,自動化數(shù)據(jù)生產(chǎn)流程,保證能夠持續(xù)建設(shè)高質(zhì)量訓(xùn)練語料。不光有深信服安全語料,還有互聯(lián)網(wǎng)、學(xué)術(shù)界、威脅樣本等安全語料。
也就是說,高級且大規(guī)模的安全語料賦能安全GPT安全能力,而安全GPT在實用過程中,又會不斷吸收訓(xùn)練語料,這是一個相輔相成的過程。
就像《倚天屠龍記》中,張無忌身懷乾坤大挪移和九陽神功兩大絕技,在與少林高僧打斗過程中,很快便學(xué)會了少林絕學(xué)龍爪手,且威力更勝少林高僧。
深信服安全GPT擁有多項實戰(zhàn)數(shù)據(jù)。據(jù)公開資料查詢得知,其在2023年9月至11月的兩個月間,藍軍通過深信服安全GPT共捕獲32個在野0day漏洞,這些漏洞細節(jié)在此之前從未被披露過。
03 強悍的釣魚郵件識別方法
釣魚郵件欺詐攻擊,是我作為CISO職業(yè)生涯中的一個污點,也已成為我心中的一根刺。
所以,我想要的安全大模型產(chǎn)品,必須要有強大的防御釣魚郵件的能力,否則若是此類釣魚攻擊再被黑灰產(chǎn)得手一次,在老板和公司高層的眼中,我的職業(yè)污點就會變成一個職業(yè)笑話。就算他們不主動讓我卷鋪蓋走人,我可能也無顏立足。
而深信服安全GPT對于釣魚郵件的識別方法,深得吾心。
眾所周知,釣魚郵件檢測,最開始是從敏感詞檢測、發(fā)件源黑名單、外鏈識別入手,對郵件附件的檢測也只局限于PE與非PE文件、靜態(tài)分析、投遞對抗等等,這些均是基于釣魚郵件共有的一些特征和規(guī)則入手。
后來,機器學(xué)習(xí)算法加持檢測釣魚郵件,使得檢測能力升級到模糊匹配和基線擬合層面,比如對已知樣本變種檢測、郵件內(nèi)容主題抽取、附件行為動態(tài)分析、圖片內(nèi)容識別、郵件歷史分析等等。
但是,這些能力還是不夠,因為我們之前的防釣魚安全產(chǎn)品則擁有如上能力,依舊還是未能識別出生成式AI根據(jù)員工定制化的釣魚郵件。
這就說明,黑灰產(chǎn)將生成式AI定制郵件的能力多維度升級,已呈道高一尺魔高一丈的局勢,再用老一套的防釣魚手段,很難再抵御狡猾多變、效率奇高的黑灰產(chǎn)生成式AI。
以毒攻毒,以高級智慧對抗高級智能,才是王道。
所以,深信服GPT針對“意圖”入手,即擁有了“意圖”識別的能力。
“意圖”是智能系統(tǒng)中的高級詞匯,像狡猾、繞行、偽裝、定制等等,都帶有某種意圖在其中,也是高級智慧在“惡”的層面的體現(xiàn)。所以,如果能防住釣魚郵件的“意圖”,則便能超脫于過往的死規(guī)則,達到智慧的高度。
深信服GPT 3.0從釣魚郵件綜合意圖評估和研判,如正文語義意圖、URL跳轉(zhuǎn)意圖、網(wǎng)頁語義意圖、附件行為意圖等等,再結(jié)合投遞方式識別、攻擊目的分析、視覺特征分析、歷史郵件分析,最終達到釣魚場景分類、異常點解讀、意圖綜合分析,繼而給出響應(yīng)處置建議。
吾心深得,盡在此處。拔吾心刺,斬吾心魔。
04 高效智能的輔助安全運營能力
對于CISO而言,安全GPT產(chǎn)品能夠聽懂人的指令,當(dāng)然是很重要的功能,但接受指令后輔助安全運營的能力,也是極為重要的方面。
就像戰(zhàn)場上的士兵,聽懂了指揮官的指令,但思想上消極怠工,或者軍事技能壓根處理不了戰(zhàn)事工作,那也就是個der兒。
深信服安全GPT能夠從本地數(shù)據(jù)、云端數(shù)據(jù)、產(chǎn)品FAQ等層面進行聯(lián)動,從對人員的意圖理解,到數(shù)據(jù)理解與生成,并解讀情報、分析風(fēng)險,給出操作建議等等,并且還能給出圖文并茂的安全趨勢解讀。
一眼秒懂的感覺,就像當(dāng)年月黑風(fēng)高的夜晚,熱戀對象看懂了我的眼神。
這種對話式的輔助安全運營能力,操作起來容易上手,使用一段時間便能得心應(yīng)手,實在是CISO馳騁職場、帶好安全團隊的貼心小棉襖。
還記得前面所說的《2023年CISO報告:當(dāng)今安全領(lǐng)導(dǎo)者面臨的新興趨勢、威脅和戰(zhàn)略》嗎?報告也表達了廣大CISO的心聲:
86%的CISO認為,生成式AI將緩解安全團隊的技能差距和人才短缺。這意味著,生成式AI將更有可能用于完成繁瑣耗時的勞動密集型安全工作,從而讓安全人員騰出時間從事更具戰(zhàn)略性的安全工作。
單這一點,就是我心頭所好。
05 人工智能自主驅(qū)動的安全運營
安全威脅往往無時無刻存在,而人員運營縱有7*24小時在線,也會有力不能及,甚至疏忽大意的時候,這個時候就考驗安全GPT的智能安全運營能力,即能夠及時彌補人力的疏漏與能力的不足,主動擔(dān)負起企業(yè)安全運營的重擔(dān)。
說白了,安全人員當(dāng)然會有精神松懈、志得意滿摸魚的時候,安全GPT必須支棱起來,做好它安全專家的職能。
安全攻擊往往是一個持續(xù)性的過程,一波接一波,前后一般存在某種邏輯上的聯(lián)系,所以安全操作指令也會一茬又一茬地發(fā)送。
以往很多人覺得人工智能不夠智能,就是因為很多AI智能針對一個問題一問一答,或者只會處理單個指令,不能將上下問題聯(lián)系在一起,更沒有將之前問題的錯誤糾正、串聯(lián)學(xué)習(xí)的邏輯能力。
深信服安全GPT即是彌補了這一缺陷——通過AI Agent技術(shù),為自主驅(qū)動安全運營而生。其不但能將任務(wù)分解、自我反思,而且還有短期記憶、長期記憶、感官記憶的功能。
繼而,配合告警API、事件API、資產(chǎn)API、漏洞API等工具,最終形成可靠的安全行動。并且能夠適應(yīng)端點主機環(huán)境、網(wǎng)絡(luò)訪問環(huán)境、云上業(yè)務(wù)環(huán)境等多種復(fù)雜環(huán)境。
人會摸魚,但機器可不會。所以,有的時候,要相信人,也要相信機器。
此外,作為安全人員,最為頭疼的肯定是告警。一波又一波的告警,肯定會讓你一個腦袋兩個大。大量告警相當(dāng)消耗人力,因此許多安全運維人員對此疲于奔命。安全人員手忙腳亂,CISO肯定會焦頭爛額。
深信服安全GPT能夠針對安全告警全量研判,分析完當(dāng)天所有安全告警,并分為自動化處置,待人員決策事件,大大縮減告警研判的人員精力消耗。
這項功能真是大大有用。在深信服安全GPT接入我司安全數(shù)據(jù)之后,在值守的40多天時間里,一共產(chǎn)生了近6萬條告警,最終判定其中500多條告警為有效告警,需要人為關(guān)注。傳統(tǒng)上被規(guī)則簡單過濾的告警,均由深信服安全GPT進行逐條、全面細致分析,嚴格閉環(huán)判定是否為有價值、有效的告警。
經(jīng)過檢測,部分有效告警置信度達到了100%,安全GPT自動執(zhí)行了封堵策略。而涉及敏感資產(chǎn)、關(guān)聯(lián)信息不足的有效告警,則會給出建議結(jié)論,繼而等待人工確認。
如此一來,安全團隊輕松多了,我也有了撰稿寫作、專業(yè)能力提升的時間。
大家都知道,工欲善其事,必先利其器。但是又有人難免會疑惑,器過于利,那還要人做什么?
因此,很多人不免會錯誤地認為,我既然有了如此智能的安全產(chǎn)品,還要安全運營人員做什么?直接把安全運營人員拿掉,豈不是還能降本增效?
這樣的觀念大錯特錯。這就像認為,醫(yī)院有了那么多高精尖的檢查儀器,還要醫(yī)生干什么一樣。優(yōu)秀的醫(yī)生,能夠更好地利用好檢測儀器,給出更精準的檢測結(jié)果,繼而更好地治病救人。
優(yōu)秀的安全運營人員,也能夠更好地匹配安全產(chǎn)品,調(diào)教安全產(chǎn)品。如今安全GPT產(chǎn)品都是經(jīng)過各類預(yù)訓(xùn)練,不光需要廠商的訓(xùn)練,還需要CISO及其團隊的適用與調(diào)教,兩相結(jié)合,方能發(fā)揮出安全GPT的更強威力。
正如上文Splunk報告所言,生成式AI將更側(cè)重于繁瑣耗時的安全工作,讓安全人員騰出時間從事更具戰(zhàn)略性的安全工作。安全AI技術(shù)的提升,將人力從繁雜的安全工作中解放出來,安全人員不再為安全忙忙亂亂,將擁有更多精力配合好業(yè)務(wù)。
業(yè)務(wù),是公司的生存命脈。很多時候,安全與業(yè)務(wù)的沖突,是因為安全工作太過消耗人力,讓安全人員沒有耐心也沒有時間去思考安全與業(yè)務(wù)的關(guān)聯(lián),或如何讓安全賦能業(yè)務(wù)。
另外,我們要區(qū)分安全GPT取代“工作”和取代“任務(wù)”之間的區(qū)別,安全GPT是在安全工作的繁雜工作中發(fā)揮輔助和增強的作用。通過強大的工具將人力從繁雜工作中解放出來的同時,我們也當(dāng)思考,人力智慧在哪些方面超越機器智能,哪些能力可以不被機器取代,哪些價值可以聯(lián)動機器共同創(chuàng)造。
正因如此,深信服安全GPT的目標即是邁向“秒級閉環(huán)”,全面解放安全運營生產(chǎn)力。讓安全GPT更智能更聰明,也讓安全業(yè)者擁有邁向更優(yōu)秀更強大的時間和空間。彼此相輔相成,相得益彰。
永遠不要忘了,人類制造和使用工具,不是為了繼續(xù)在工作中做牛做馬,而是為了去做更有創(chuàng)造力的事情。
我做CISO,也會去追求我的星辰大海。
有段時間,我有點飄。因為隨著網(wǎng)絡(luò)安全重要性的提升,CISO正從過往CIO(首席信息官)架構(gòu)中獨立出來,甚至可以向CEO直接匯報,有些CISO還能參與到企業(yè)決策工作中去。
這就意味著,時代變了,CISO肩上的責(zé)任更大,擔(dān)子更重。當(dāng)然,也意味著CISO地位高了,收入與職業(yè)前景也都水漲船高。
但是,去年某些時候,我又突然很焦慮。時代確實在變,尤其是生成式AI、AI大模型的崛起,著實讓我有些措手不及。同時我也相信,許多CISO和我一樣,多少都一臉懵逼:AI來得比野火燎原還要兇猛,擾亂了以往安全工作的舒適圈,被迫開啟了躺也躺不平、站也站不穩(wěn)的四十五度斜杠人生。
于是,我很快被時代當(dāng)頭一棒:一封釣魚郵件入侵了我司的員工郵箱,最終導(dǎo)致部分數(shù)據(jù)和賬號泄露。作為CISO,我必然要為此事背鍋。
時代車輪已碾壓到我的臉上
我當(dāng)然不服,專門去研究了釣魚郵件,赫然發(fā)現(xiàn),得益于生成式AI技術(shù)的智能特性,已經(jīng)可以快捷生成定制化釣魚郵件,即不但具有針對性的內(nèi)容,且每封郵件都針對特定員工特別設(shè)計。不但看起來非常真實,而且還因為不具有共同的惡意指標,居然繞過了公司安全防御系統(tǒng)。
那一次,我深深體會到了AI傳遞的寒意。黑灰產(chǎn)已經(jīng)用上生成式AI,而我還沉浸于志得意滿的安樂圈內(nèi)。隨后,我瘋狂查閱和學(xué)習(xí)相關(guān)資料,尤其是看到Splunk發(fā)布的《2023年CISO報告:當(dāng)今安全領(lǐng)導(dǎo)者面臨的新興趨勢、威脅和戰(zhàn)略》報告,我虎軀一震。
報告顯示,70%的CISO認為,生成式 AI 將形成一種不對稱戰(zhàn)場,不可避免地讓網(wǎng)絡(luò)攻擊者處于有利位置。35%的CISO已經(jīng)將AI應(yīng)用于積極的安全應(yīng)用程序,61%的CISO可能在未來12個月內(nèi)使用AI。
時代的車輪都已經(jīng)碾壓到我臉上了,我居然還沒先行一步。在面對生成式AI攻擊時,人已經(jīng)不是雙拳難敵四手,而是凡體肉身直接面對千臂修羅。
當(dāng)然,我也是有私心的。作為一名CISO,萬一工作干不好,公司把“I”給踢了,我的職業(yè)生涯也可能就“S”了,我只能仰天長嘆“A……”。最終,我大概只是公司高層口中的一聲“CAO”。
萬幸,公司高層一致認為,生成式AI釣魚郵件只是一個開始,如果不嚴加防范,哪天公司數(shù)據(jù)老巢被人端了,我們都可能不知道是誰干的。
以彼之道還施彼身,是古人的智慧。黑灰產(chǎn)用上生成式AI,因而未來安全容不得一絲馬虎和僥幸,應(yīng)當(dāng)選擇更強的安全GPT產(chǎn)品,方能在對抗中不落下風(fēng)。
“上馬!”
老板大手一揮,資金到位,接下來就是挑選安全大模型相關(guān)產(chǎn)品。大模型是AI能力的底座,可以持續(xù)訓(xùn)練學(xué)習(xí),以不斷提升安全能力?;诖?,經(jīng)過一番調(diào)研評估,深信服安全GPT成為我們麾下一員悍將。
一定要悍,不悍不行。就像劉備若少了關(guān)羽,豈能溫酒斬華雄、斬顏良誅文丑、過五關(guān)斬六將、水淹七軍,單刀赴會。我們希望悍將比關(guān)羽還強,因為就黑灰產(chǎn)把AI往死里用的干勁,未來折騰出來的玩意兒戰(zhàn)力可能遠超呂布。它造千臂修羅,我方起碼要有千手觀音。
哪個老板不想自家安全系統(tǒng)“一夫當(dāng)關(guān),萬夫莫開”。深信服安全GPT的“悍”,我們自然做了充分的評估,它悍就悍在以下幾個方面。
01 深厚安全能力積累+國內(nèi)首發(fā)落地,已落地超130家用戶
縱觀網(wǎng)安市場,GPT類安全產(chǎn)品其實正處于爆發(fā)初期。很多時候,爆發(fā)是因為風(fēng)口而起,而安全技術(shù)往往需要積累與實踐。
“臨陣磨槍,不快也光”在安全領(lǐng)域其實只適用于臨時應(yīng)急,正如洪水來襲,沙袋筑堤,只能能擋一時水患。而安全風(fēng)險是持續(xù)性的、變化著的,就像洪水年年興起,想要更徹底抵擋洪澇災(zāi)害,還是要筑堤修壩。而固若金湯的堤壩,需要時間沉淀和經(jīng)驗積累才能鑄造。
作為CISO,選擇GPT安全產(chǎn)品,自然要考慮到安全能力的積累。比如什么時候開始切入AI安全,AI大模型訓(xùn)練又依賴于硬件設(shè)施和專家團隊。所以,我大概只能從超過十年生命的老安全廠商中去挑選相關(guān)產(chǎn)品。
基于我的要求,我了解了多家安全廠商,發(fā)現(xiàn)深信服早在2015到2016年就投身機器學(xué)習(xí)、深度學(xué)習(xí)的安全領(lǐng)域應(yīng)用,其EDR、NDR、防火墻等拳頭產(chǎn)品最核心的檢測能力基本都構(gòu)建于AI算法。
2022大模型時代開啟,深信服依靠背后的資源迅速投身安全GPT的研發(fā)訓(xùn)練。依托超過數(shù)百張A100/A800顯卡集群,400人又懂安全、又懂AI的專職碩博團隊,以及作為安全的廠商積累了超過20年的安全大數(shù)據(jù),深信服可謂是all in大模型。
另外,深信服還擁有獨一份的數(shù)據(jù)飛輪,即設(shè)立國內(nèi)首家規(guī)模最大的安全運營中心,真實的客戶問答和運營場景,提供真實的人類專家數(shù)據(jù)反饋。
深信服早在去年5月18日就發(fā)布了安全GPT,在此之前,我似乎沒聽說過其他的安全大模型產(chǎn)品,并且在我抱著懷疑的態(tài)度申請試用后,對方很快就聯(lián)系我溝通測試,短短幾周便能夠部署上線,完全超出我的預(yù)期。
“不打PPT概念,深信服安全GPT是玩真的。”年初對方工作人員自豪地跟我講,深信服安全GPT已經(jīng)在超過130家用戶的真實環(huán)境中落地。這么多組織單位已經(jīng)領(lǐng)先一步,而我們才剛剛開始追趕時代的浪潮。
02 突出的“語言”能力,高效解析安全文本
我司的防御體系部署了多家廠商安全設(shè)備,在實測過程中發(fā)生了一件讓我感到震驚的事,就是深信服安全GPT檢測大模型在沒有任何先驗知識的前提下,第一時間獨家檢出某產(chǎn)品遠程命令執(zhí)行0day漏洞攻擊。
要知道,我以前對人工智能的理解,就是覺得AI是建立在人類灌輸?shù)闹R上的機械行為,叫AI智能實則是抬舉了AI。這一次,我深深感受到了機器智能的厲害之處。
帶著我的好奇,我主動找到深信服產(chǎn)品專家溝通,一番問東問西,人家也沒太過藏著掖著,告訴了我一些基本原理:
原來,通過海量的HTTP流量、日志、代碼等數(shù)據(jù)的預(yù)訓(xùn)練而成的深信服大模型,具備了HTTP流量理解能力、代碼理解能力、攻防對抗理解能力和安全常識理解能力,其綜合能力類似一個攻防專家,能夠研判各類高對抗攻擊。
而這些能力的關(guān)鍵,是高質(zhì)量的安全語料積累與數(shù)據(jù)工程實踐。深信服擁有上千億Token安全和通用語料,覆蓋攻擊手法、漏洞、黑客工具、威脅情報等領(lǐng)域,通用語料保證模型通用能力不遺忘。
此外,自動化數(shù)據(jù)生產(chǎn)流程,保證能夠持續(xù)建設(shè)高質(zhì)量訓(xùn)練語料。不光有深信服安全語料,還有互聯(lián)網(wǎng)、學(xué)術(shù)界、威脅樣本等安全語料。
也就是說,高級且大規(guī)模的安全語料賦能安全GPT安全能力,而安全GPT在實用過程中,又會不斷吸收訓(xùn)練語料,這是一個相輔相成的過程。
就像《倚天屠龍記》中,張無忌身懷乾坤大挪移和九陽神功兩大絕技,在與少林高僧打斗過程中,很快便學(xué)會了少林絕學(xué)龍爪手,且威力更勝少林高僧。
深信服安全GPT擁有多項實戰(zhàn)數(shù)據(jù)。據(jù)公開資料查詢得知,其在2023年9月至11月的兩個月間,藍軍通過深信服安全GPT共捕獲32個在野0day漏洞,這些漏洞細節(jié)在此之前從未被披露過。
03 強悍的釣魚郵件識別方法
釣魚郵件欺詐攻擊,是我作為CISO職業(yè)生涯中的一個污點,也已成為我心中的一根刺。
所以,我想要的安全大模型產(chǎn)品,必須要有強大的防御釣魚郵件的能力,否則若是此類釣魚攻擊再被黑灰產(chǎn)得手一次,在老板和公司高層的眼中,我的職業(yè)污點就會變成一個職業(yè)笑話。就算他們不主動讓我卷鋪蓋走人,我可能也無顏立足。
而深信服安全GPT對于釣魚郵件的識別方法,深得吾心。
眾所周知,釣魚郵件檢測,最開始是從敏感詞檢測、發(fā)件源黑名單、外鏈識別入手,對郵件附件的檢測也只局限于PE與非PE文件、靜態(tài)分析、投遞對抗等等,這些均是基于釣魚郵件共有的一些特征和規(guī)則入手。
后來,機器學(xué)習(xí)算法加持檢測釣魚郵件,使得檢測能力升級到模糊匹配和基線擬合層面,比如對已知樣本變種檢測、郵件內(nèi)容主題抽取、附件行為動態(tài)分析、圖片內(nèi)容識別、郵件歷史分析等等。
但是,這些能力還是不夠,因為我們之前的防釣魚安全產(chǎn)品則擁有如上能力,依舊還是未能識別出生成式AI根據(jù)員工定制化的釣魚郵件。
這就說明,黑灰產(chǎn)將生成式AI定制郵件的能力多維度升級,已呈道高一尺魔高一丈的局勢,再用老一套的防釣魚手段,很難再抵御狡猾多變、效率奇高的黑灰產(chǎn)生成式AI。
以毒攻毒,以高級智慧對抗高級智能,才是王道。
所以,深信服GPT針對“意圖”入手,即擁有了“意圖”識別的能力。
“意圖”是智能系統(tǒng)中的高級詞匯,像狡猾、繞行、偽裝、定制等等,都帶有某種意圖在其中,也是高級智慧在“惡”的層面的體現(xiàn)。所以,如果能防住釣魚郵件的“意圖”,則便能超脫于過往的死規(guī)則,達到智慧的高度。
深信服GPT 3.0從釣魚郵件綜合意圖評估和研判,如正文語義意圖、URL跳轉(zhuǎn)意圖、網(wǎng)頁語義意圖、附件行為意圖等等,再結(jié)合投遞方式識別、攻擊目的分析、視覺特征分析、歷史郵件分析,最終達到釣魚場景分類、異常點解讀、意圖綜合分析,繼而給出響應(yīng)處置建議。
04 高效智能的輔助安全運營能力
對于CISO而言,安全GPT產(chǎn)品能夠聽懂人的指令,當(dāng)然是很重要的功能,但接受指令后輔助安全運營的能力,也是極為重要的方面。
就像戰(zhàn)場上的士兵,聽懂了指揮官的指令,但思想上消極怠工,或者軍事技能壓根處理不了戰(zhàn)事工作,那也就是個der兒。
深信服安全GPT能夠從本地數(shù)據(jù)、云端數(shù)據(jù)、產(chǎn)品FAQ等層面進行聯(lián)動,從對人員的意圖理解,到數(shù)據(jù)理解與生成,并解讀情報、分析風(fēng)險,給出操作建議等等,并且還能給出圖文并茂的安全趨勢解讀。
一眼秒懂的感覺,就像當(dāng)年月黑風(fēng)高的夜晚,熱戀對象看懂了我的眼神。
這種對話式的輔助安全運營能力,操作起來容易上手,使用一段時間便能得心應(yīng)手,實在是CISO馳騁職場、帶好安全團隊的貼心小棉襖。
還記得前面所說的《2023年CISO報告:當(dāng)今安全領(lǐng)導(dǎo)者面臨的新興趨勢、威脅和戰(zhàn)略》嗎?報告也表達了廣大CISO的心聲:
86%的CISO認為,生成式AI將緩解安全團隊的技能差距和人才短缺。這意味著,生成式AI將更有可能用于完成繁瑣耗時的勞動密集型安全工作,從而讓安全人員騰出時間從事更具戰(zhàn)略性的安全工作。
單這一點,就是我心頭所好。
05 人工智能自主驅(qū)動的安全運營
安全威脅往往無時無刻存在,而人員運營縱有7*24小時在線,也會有力不能及,甚至疏忽大意的時候,這個時候就考驗安全GPT的智能安全運營能力,即能夠及時彌補人力的疏漏與能力的不足,主動擔(dān)負起企業(yè)安全運營的重擔(dān)。
說白了,安全人員當(dāng)然會有精神松懈、志得意滿摸魚的時候,安全GPT必須支棱起來,做好它安全專家的職能。
安全攻擊往往是一個持續(xù)性的過程,一波接一波,前后一般存在某種邏輯上的聯(lián)系,所以安全操作指令也會一茬又一茬地發(fā)送。
以往很多人覺得人工智能不夠智能,就是因為很多AI智能針對一個問題一問一答,或者只會處理單個指令,不能將上下問題聯(lián)系在一起,更沒有將之前問題的錯誤糾正、串聯(lián)學(xué)習(xí)的邏輯能力。
深信服安全GPT即是彌補了這一缺陷——通過AI Agent技術(shù),為自主驅(qū)動安全運營而生。其不但能將任務(wù)分解、自我反思,而且還有短期記憶、長期記憶、感官記憶的功能。
繼而,配合告警API、事件API、資產(chǎn)API、漏洞API等工具,最終形成可靠的安全行動。并且能夠適應(yīng)端點主機環(huán)境、網(wǎng)絡(luò)訪問環(huán)境、云上業(yè)務(wù)環(huán)境等多種復(fù)雜環(huán)境。
人會摸魚,但機器可不會。所以,有的時候,要相信人,也要相信機器。
此外,作為安全人員,最為頭疼的肯定是告警。一波又一波的告警,肯定會讓你一個腦袋兩個大。大量告警相當(dāng)消耗人力,因此許多安全運維人員對此疲于奔命。安全人員手忙腳亂,CISO肯定會焦頭爛額。
深信服安全GPT能夠針對安全告警全量研判,分析完當(dāng)天所有安全告警,并分為自動化處置,待人員決策事件,大大縮減告警研判的人員精力消耗。
這項功能真是大大有用。在深信服安全GPT接入我司安全數(shù)據(jù)之后,在值守的40多天時間里,一共產(chǎn)生了近6萬條告警,最終判定其中500多條告警為有效告警,需要人為關(guān)注。傳統(tǒng)上被規(guī)則簡單過濾的告警,均由深信服安全GPT進行逐條、全面細致分析,嚴格閉環(huán)判定是否為有價值、有效的告警。
經(jīng)過檢測,部分有效告警置信度達到了100%,安全GPT自動執(zhí)行了封堵策略。而涉及敏感資產(chǎn)、關(guān)聯(lián)信息不足的有效告警,則會給出建議結(jié)論,繼而等待人工確認。
有了安全GPT,還要安全運營人員嗎?
大家都知道,工欲善其事,必先利其器。但是又有人難免會疑惑,器過于利,那還要人做什么?
因此,很多人不免會錯誤地認為,我既然有了如此智能的安全產(chǎn)品,還要安全運營人員做什么?直接把安全運營人員拿掉,豈不是還能降本增效?
這樣的觀念大錯特錯。這就像認為,醫(yī)院有了那么多高精尖的檢查儀器,還要醫(yī)生干什么一樣。優(yōu)秀的醫(yī)生,能夠更好地利用好檢測儀器,給出更精準的檢測結(jié)果,繼而更好地治病救人。
優(yōu)秀的安全運營人員,也能夠更好地匹配安全產(chǎn)品,調(diào)教安全產(chǎn)品。如今安全GPT產(chǎn)品都是經(jīng)過各類預(yù)訓(xùn)練,不光需要廠商的訓(xùn)練,還需要CISO及其團隊的適用與調(diào)教,兩相結(jié)合,方能發(fā)揮出安全GPT的更強威力。
正如上文Splunk報告所言,生成式AI將更側(cè)重于繁瑣耗時的安全工作,讓安全人員騰出時間從事更具戰(zhàn)略性的安全工作。安全AI技術(shù)的提升,將人力從繁雜的安全工作中解放出來,安全人員不再為安全忙忙亂亂,將擁有更多精力配合好業(yè)務(wù)。
業(yè)務(wù),是公司的生存命脈。很多時候,安全與業(yè)務(wù)的沖突,是因為安全工作太過消耗人力,讓安全人員沒有耐心也沒有時間去思考安全與業(yè)務(wù)的關(guān)聯(lián),或如何讓安全賦能業(yè)務(wù)。
另外,我們要區(qū)分安全GPT取代“工作”和取代“任務(wù)”之間的區(qū)別,安全GPT是在安全工作的繁雜工作中發(fā)揮輔助和增強的作用。通過強大的工具將人力從繁雜工作中解放出來的同時,我們也當(dāng)思考,人力智慧在哪些方面超越機器智能,哪些能力可以不被機器取代,哪些價值可以聯(lián)動機器共同創(chuàng)造。
正因如此,深信服安全GPT的目標即是邁向“秒級閉環(huán)”,全面解放安全運營生產(chǎn)力。讓安全GPT更智能更聰明,也讓安全業(yè)者擁有邁向更優(yōu)秀更強大的時間和空間。彼此相輔相成,相得益彰。
永遠不要忘了,人類制造和使用工具,不是為了繼續(xù)在工作中做牛做馬,而是為了去做更有創(chuàng)造力的事情。
我做CISO,也會去追求我的星辰大海。
詳情請關(guān)注安在新媒體,一家信息安全領(lǐng)域媒體,以“做有內(nèi)涵的泛黑客媒體”為方向,線上通過自媒體,采訪網(wǎng)絡(luò)安全領(lǐng)域人物梳理行業(yè)脈絡(luò),通過介紹他們的經(jīng)歷、感悟、對行業(yè)的看法等來剖析網(wǎng)絡(luò)安全發(fā)展的脈絡(luò);致力于建立完整的信息發(fā)布矩陣,覆蓋微信、微博、知乎等主流自媒體渠道。
官網(wǎng):http://anzerclub.com/
市場部聯(lián)系(廠商):徐倩(微信:Madeline_Sue)
市場部聯(lián)系(甲方):Tina(微信:xuqingqing823125689 )及 Enco(微信:Anzer10)