2024年6月5日,以“AI驱动安全”为主题的2024全球数字经济大会数字安全高层论坛暨北京网络安全大会战略峰会(以下简称“BCS大会”)在北京国家会议中心开幕。
全国政协委员、全国工商联副主席、奇安信集团董事长齐向东发表题为《AI驱动安全》的主题演讲,对于AI对网络安全的影响,以及如何落实“AI驱动安全”进行了深入诠释。- 随着网络安全形势变化,安全建设变成追求零漏报,但人力不足,无法对海量的告警进行研判。追求不漏,反成高漏。
- 解决有限的安全资源和100%的安全追求之间的矛盾,要靠AI驱动安全。
- 做好“AI驱动安全”至少需要具备三大条件:高质量的训练数据;纵深防御的内生安全体系;统一的输入输出标准。
尊敬的各位领导、各位院士、各位专家、来宾,媒体朋友们,
大家好!感谢大家参加全球数字经济大会数字安全高层论坛暨2024北京网络安全大会。当前,第四次工业革命快速发展,传统社会开始全面网络化、数字化、智能化,网络空间安全形势发生翻天覆地的变化:散兵游勇式的黑客组织正逐渐退居其次,取而代之的是专业攻击组织和国家级网络力量,它们已经成为网络攻击的两大主力;一般性的网民,网站遭受到的攻击数量骤然下降,取而代之,政府、城市和大型企业的重要设施成为重要攻击目标。网络安全“一失万无”的现状更加突出。
从经济损失层面看,今年以来就爆发了多起重大网络攻击事件,一些事件造成的经济损失甚至高达数十亿元。比如,美国联合健康集团今年为勒索攻击付出的总成本已经达到63亿元,国际清洁用品巨头高乐氏因为网络攻击损失超3.5亿元。从高水平攻防对抗层面看,今年2月奇安信威胁情报中心发布的2023年度APT报告显示,全球至少有80个国家遭遇过APT攻击,这些攻击组织背后往往有国家力量直接参与,不达目的不罢休,被盯上的政企机构不是业务系统被瘫痪,就是机密数据被窃取,有的甚至还会威胁到国家安全。
网络安全形势的变化,催促安全建设同步升级。网络安全防御体系建设的指标有2个:“漏报率”和“误报率”,“漏报率”为零,就有可能产生误报,我们以前听说过“宁可错杀一千,也不能漏掉一个”,对业务系统来说,误报错杀就等于影响业务运行。过去,网络攻击是小概率事件,被攻击后,后果也不严重,所以,绝大多数企业追求的是零误报,就是优先考虑的是不影响业务运行,付出的代价是放过大量的可疑告警。网络安全形势变化以后,安全建设指标要变成追求零漏报,但人力不足,无法对海量的告警进行研判,只能放任不理,结果追求不漏,反倒成了高漏。我们统计了奇安信安服团队处理的2959次网络安全应急响应事件,所有被攻陷的企业,它们的安全设备都对潜在威胁发出了告警,但企业并未对这些告警进行研判和处理,造成了事实上的大量“漏报”。安全人员数量和资源不足,是失陷的主要原因。我们曾经对万人规模以上的企业做过调查。86%的企业,安全运营人员不到10人,研判比例不足5%;13%的企业,运营人员有10-30人,研判比例在5%-10%;仅有1%的企业,配备了30人以上的安全运营团队,但研判告警比例也仅仅达到10%。这个数字点醒我们,人力不足导致大量告警被忽视,是网络安全当前面临的最大漏洞。部署好的安全设备,由于没有人力去处理,造成“漏报”频发。解决有限的安全资源和100%的安全追求之间的矛盾,要靠AI驱动安全,下面我和大家分享三部分。攻击者突破安全防线有几个阶段,先突破单点设备、再突破防护体系,事成之后,还要想办法隐匿踪迹。AI能给安全防护者带来十倍、百倍乃至千倍的效率跃升,把攻击扼杀在事发之前。先说单点设备的检测,AI可以对过去人工漏掉的告警进行全量研判,实现安全能力十倍级提升。单点设备会为了追求“0漏报”而产生海量告警,但为了避免“错杀”影响业务,99%都需要人工分析研判。然而,任何企业的安全专家都是有限的,他们全力以赴也只能研判少量告警,有超90%的告警被抛弃,其中隐藏的大量真实威胁被忽略,攻击者就会趁虚而入。AI打破了人力资源和效率的边界,依托强大的算力资源和持续训练后的研判能力,极大提升了安全工程师的效率,能减少90%的漏报,实现安全能力的10倍提升。再说体系化防御,通过AI赋能的综合分析和全局联动,实现安全能力百倍级提升。在AI赋能下,单个安全设备减少了90%的漏报,但剩下10%的威胁会进入系统当中。此时,就需要体系化的防御。体系化防御的核心,是多种网络安全设备的有机结合。由于不同产品之间的数据共享、互访问、互操作非常频繁,漏报和误报问题在这一阶段又会呈现指数级增长。AI好比一个智能体,像人一样在工作,不仅可以知道在什么场景下、去调哪个接口、取什么数据,还能根据实际变化进行动态调整,瞬时激发各个设备的安全能力,将遗漏的威胁从10%降低到千分之一,达到安全能力百倍级提升的目标。最后是溯源和反制。从威胁发现到攻击溯源环节,依托AI的智能化、自动化,可实现响应能力的千倍级提升。单设备的检测,叠加体系化的防御,大部分漏报误报都会被解决,但仍无法保证万无一失,可能会有千分之一的几率漏掉单个威胁,从而让攻击者得逞。AI的逻辑推理、自我决策能力,可以帮助我们实现安全体系中不同产品的互操作,实现事件溯源和处置的高度智能化和自动化,处理时间可能从过去的一天,缩短到分钟级甚至秒级,实现响应能力千倍提升。
由此可见,AI在不同安全场景中释放的能量难以估量。AI驱动安全已经成为大势所趋,未来网络攻防就是得AI者得天下。讲到这里,可能有人会问,既然AI这么好,是不是我赶紧装上一个AI大模型就可以了?答案并非如此,这就是我接下来讲的。
第一个条件,高质量的数据,是高水平AI的基础。高质量的数据有两个特点,一是全、二是新。这样的安全数据是稀缺资源,只有拥有最多人才、承担最多国家关基设施防护任务、处理最多安全应急事件的企业,才能积累下又全又新的数据。先说全,指的是要有足够多的基础安全数据用于训练安全大模型。安全设备覆盖越广,得到的数据量越大、越丰富。IDC等权威机构公布的数据显示,奇安信在终端安全、威胁发现与态势感知、数据安全、云安全、安全管理平台等领域,都稳居市场第一。特别是终端安全市场,连续六年领跑。安全数据规模位居全国首位,为大模型预训练打下了坚实的基础。目前,我们自主研发的数据存储平台,汇聚了总量超过380亿的全球独有样本库、超百亿的恶意网址库、国内最大的互联网漏洞库、2万亿级的DNS日解析量、200多亿条资产数据等等。再说新,指的是要有足够贴近实战的一手原始语料用于大模型推理。只有丰富的实战经验,才能磨练出专业的原始语料。奇安信有遍布全国的网络安全服务团队,人数规模超过3000人,能深入了解客户遇到的安全问题;我们还开通了全国首个行业服务热线95015,为各地客户解决紧急的安全事件,能第一时间获取威胁信息;我们还举行了近900场攻防演习活动,完成了80多场国内外重大活动网络安全保障任务,在实战过程中积累了丰富、先进的安全知识和经验。这既是训练高水平安全大模型的核心要素,也可作为大模型推理时所需的最新实时信息,双管齐下确保生成精准的、高价值的答案。我给大家看一个有趣的例子,用同样一个恶意域名,去提问最新的ChatGPT和我们自己的大模型,看看结果对比。左边是GPT的答案,它只是泛泛提供了一些建议。右边是我们自己的大模型,回答的非常专业和有价值,不仅准确判断出这个域名是恶意域名,还给出了专业的判断依据,提炼出核心知识点。包括哪些家族的恶意软件与该域名的通信记录、该域名的注册信息是否有可疑等关键细节,基本匹敌一个安全专家的分析报告。可见,经过专业知识优化的大模型在实际应用中具有显著优势,其精确性和实用性远超未优化的通用大模型。第二个条件,体系化的网络安全建设,是AI发挥效率的平台。从俄乌战场上可以看出,现代战争的核心,是多系统之间的协同联动,从雷达感知情报,送回指挥部,再送到海陆空前线部队,迅速启动火力系统,锁定并打击目标,这是一个整体作战体系,更是高效运转的闭环。“天下武功,唯快不破”,放到网络空间也是如此。2019年,奇安信提出的内生安全体系,可以把网络安全设备和业务流转、不同层次的信息系统有机结合起来,感知、响应对业务系统和数据的任何破坏行为。AI赋能内生安全体系,不仅可以和客户业务完美融合,更能实现网络安全响应从滞后到实时的大跃升,全时段瞬时响应成为可能。第三个条件,统一的标准,为AI驱动安全实现体系化落地扫除障碍。训练好的安全大模型,能否取得好效果取决于设备和体系是否有统一的标准。当前,不同厂商、不同设备读不懂彼此的数据,有时候仿佛鸡同鸭讲,实现标准统一迫在眉睫。首先是统一数据输入标准,让AI读懂“多国语言”,完成体系化分析。AI好比一个诊断专家,我们在给医生描述病症的过程中,信息量越大、症状越详细,医生的诊断越精确。目前,许多政企机构的网络安全建设靠 “拼凑”,部署的安全产品是大杂烩,产品、技术、运营标准都不一致,信息量参差不齐,杂乱的数据给AI,很难进行体系化分析并得出正确结论。构建一套统一的数据语料标准至关重要。只有为AI提供颗粒度足够细,信息量足够充分,遵循统一标准的数据,才能让AI看得懂,用得好。这就像是给AI提供了一个标准化的语言交流环境,面对威胁能够迅速做出反应,保护我们的数据和系统不受损害。日积月累,还会量变引起质变,实现AI能力的自成长。其次是统一指令输出标准,让AI实现跨设备、跨系统的能力协同和全局联动。 AI驱动安全,关键在于“驱动”,这要靠统一的操作指令标准来实现。我们要制定通用的操作指令集,确保所有体系内的网络安全设备都能理解和执行这些指令。指令要具体到每一台设备、每一个功能、每一项操作,明确到操作对象和动作要求,精细到有效调动起某个安全设备的某个功能,这样AI驱动安全才能真正实现闭环。统一度量衡,功在当代,利在千秋。进入AI驱动安全的新纪元,全行业要在这一领域找到最大公约数,在数据输入、指令输出两大关键环节实现“车同轨、书同文”。
认识到AI的变革作用并不难,难的是用好AI、让AI真正赋能安全。在“AI驱动安全”这条路上,我们率先进行了大量探索实践。下面,我从四个方面,分享我们在客户侧落地的真实故事。☞一是AI驱动研判,大幅提升了威胁发现效率。以我们今年3月正式发售的AI战略产品QAX-GPT安全机器人为例,它的研判效率相当于人工的数十倍,在大型客户侧广泛落地。有一家员工规模超万人的大型企业,单日告警量超过10万,运营人员只有12人,一个团队一天只能研判6000条告警,漏报率极高。用上安全机器人以后,他们可以对10万告警全量研判,漏报率为0.05%,揪出了人漏掉的700多条真实告警,极大提升了集团的整体安全能力。☞二是AI驱动体系,多设备快速联动实现安全运营能力循环上升,威胁遏制实现秒级、溯源分析实现分钟级。我们有一家金融客户,数字化跑得很快,网络安全建设也相对成熟,但在事件处置方面远跟不上实际需求。攻击者经常把安全防线打穿。通过部署机器人和NGSOC构成的“AI+安全运营”方案,奇安信帮助这家企业实现了威胁事件的自动化响应。通过AI与防火墙、WAF、SOAR等安全产品的协同联动,对遏制安全威胁的处置时间从过去的10分钟缩短到秒级;对复杂事件的溯源分析缩短到分钟级。安全运营效率大幅提升。☞三是AI驱动智能攻防,通过持续验证,推动安全能力在博弈中演进。“以攻促防”是提升安全能力的重要方式,我从攻击红队和防护蓝队两方面来说。先说攻击红队。每年实战攻防演习前,都有很多客户希望使用奇安信的“加特林”打前战。这是款模拟攻击红队的产品,通过全自动化的渗透测试,帮助客户提高演习成绩。虽然效果不错,但创造性不足,遵循固定的流程,面对变化的安全环境和策略不能进行自我调整,无法和专业红队相比。为弥补这一短板,我们把安全机器人和“加特林”结合,打造出业内独一无二的“智能红队”。 “智能红队”让“模拟战”更有实战感,把“以攻促防”变得更便捷。再说防护蓝队。有一家大型核电企业,希望安排机器人和人工团队比一比。演习期间,客户借助机器人进行防守,共发现15起安全事件,同时机器人发现了被专家遗漏的两个高危的安全事件。在真实风险事件研判准确率上,机器人达到100%。☞四是AI驱动全场景升维,网络安全的最大效能被激发。在AI+安全开发方面,基于大模型的代码助手极大提高了开发人员的效率,不仅实现了代码的高效编写,还能自动检测并修复潜在的安全漏洞;在AI+终端安全方面,奇安信天擎、反病毒、沙箱等产品深度融合安全大模型的分析能力,无论是二进制文件还是非PE脚本类代码,都能快速分析并识别;除此之外,我们还将AI全方位应用在漏洞挖掘、电子取证、操作流程自动化上等众多产品和业务流程方面,大大提高了产品威胁发现、研判、处置水平,升级整体安全防御能力。网络空间是看不见硝烟的战场。当攻击者纷纷通过AI实现攻击武器的“升维”时,网络安全的战场将由“冷兵器”时代直接进入“核武器”时代。未来,如果不依托AI,安全也将不复存在。让我们用“AI驱动安全”,向着无限的安全追求不断前进!
