初级安全运营人员如何利用Gen AI提高效率

前言

笔者曾经在某实体企业的安全运营中心工作时，承担了大半个安全运营的工作，遇到了不少问题。恰逢安全公司开始布局Gen AI，遂引入其中，以增其利。

笔者当时面临的最大问题就是安全资产的模糊与缺位.因为公司大规模的扩张并购海内外资产，导致已有的安全资产表已经形同虚构。如何高效的维护"资产表"成为了笔者所在部门——安全运营中心 (SOC) 的Top1规划，这就导致我的同事将全部的精力放在和资产负责人"友好交流"的状态。于是乎，这日常的事件分析就放在了我的身上。

这个时候Gen AI系统逐渐步入笔者的眼帘，它可以用来执行重复的分类和文档任务，使初级安全运营人员有更多时间将精力放在事件的调查、原因的分析、方案的落地。Gen AI可能不够"智能"，但是作为辅助安全运营人员"扩展知识库"，在研判攻击payload（攻击载荷），高效分析日志、流量、事件信息游刃有余。

生产方案

Gen AI系统的未来是如何从过滤、检测、排除和响应的角度，优化安全运营人员体验。协助安全运营人员对企业日常的事件分析是体现Gen AI能力的最佳时刻。

笔者在网站翻阅Secureworks（戴尔旗下的安全子公司）的产品报告的时候发现，Secureworks不仅运营着自家的SOC，还会向企业的SOC提供外包服务。

Secureworks运用了一系列的AI技术，包括异常检测和神经网络等其他机器学习模型去优化SOC的运营能力。Secureworks运用Gen AI帮助安全运营人员收集攻击告警、确定告警优先级；安全运营人员可以很迅速锁定关键告警，并作出响应措施。白皮书中提到，在过去的三年中，Secureworks运营人员收到的警报减少了80%，与之对应的工作量减少了50%，这使得安全运营人员能够将更多时间花在处理复杂的应急响应事件和为新客户提供安全策略的咨询上。也就是说，运营人员在监测告警方面的自动化程度越高，运营人员能够在应急响应方面上花费的时间就越多。

Secureworks利用现有安全数据集来训练Gen AI生成安全解决方案模板，以便供安全运营人员编辑后，提交运维部门或者资产负责人处理。该功能也可供企业SOC使用，与企业Azure云上运行的私有实例配合，方便运营人员进行监测、记录后，即刻生成报告，经过运营人员修订后，推送客户。相较于原始流程，所需的时间减少了90%，这就是Secureworks会选择Gen AI的主要原因了。与此同时，Gen AI作为"可扩展知识库"，可以为运营人员翻译监控页面出现的脚本和命令行的作用。

相应的Gen AI也可以用来解释攻击告警，Secureworks拥有数以万计的策略和流量特征，使得他家的Gen AI产品可以解释触发告警的具体原因， 这对于生成报告有不小的助力。

辅助研判

Secureworks的副总裁Radu Leonte发文表示：附带有Gen AI的安全产品已经彻底改变了初级安全运营人员处理安全告警的方式，运营人员现在可以通过询问Gen AI，轻松定位到payload（攻击载荷），并解析该攻击载荷的作用，以及提供解决方案。

Radu Leonte提到，现在运营人员可以更快地针对告警进行分级。人工导致的理解错误和漏检的消失，使得告警分级的准确性和质量也得到了提高。因此Gen AI作为安全顾问，目前的能力非常出色。运营人员可以在依靠Gen AI与其互动，通过提出相关的安全问题，帮助自己辅助研判安全告警，以及生成相应的解决方案。与此同时，Secureworks建立了反馈循环，安全运营人员可以对Gen AI提供的结果提出反馈建议，时时将反馈告知给数据工程师和软件工程师，为下一个版本的优化提供方向。

就笔者工作的企业来看，通常引入新的运营人员后，为了让新人快速上手，通常会有经验丰富的同事带 着熟悉"常见的安全误报"，有的时候还需要同事耐心告知解决方案。附带有Gen AI的安全产品可以更快地帮助新人快速解答这些问题。这不仅节约了新人的培训时间，还方便同事全力资产负责人"友好交流"。最后，笔者拥抱Gen AI的原因很无赖，由于企业的安全经费限制，企业的高级安全运营人员和高级应急响应工程师都严重短缺；利用Gen AI辅助，可以帮助安全运营人员发挥更大的作用。下一代Gen AI不再会局限于总结信息和提供建议，而是采取什么步骤（例如：阻止用户暴力破解，下一代Gen  AI会自动生成解决方案，调用API接口执行命令，并将操作记入日志，无需任何人的干预），这是我们可以期待的。

信息整合

笔者最喜欢Gen AI的一点，就是它的信息整合功能，例如：运营人员可以使用GPT 4.0版本进行公司敏感信息收集，帮助阅读报告并提炼重点。

Gen AI比搜索引擎更快、更方便。Gen AI可以针对一些技术方面的问题做出"完美"回答，这是通过普通搜索引擎无法做到的事情。更重要的是，Gen AI会保留上下文，随时可以继续对话。

关于信息整合，笔者就不得不推荐Forescout。Forescout在底层使用Google Vertex可以支持多种不同的大型语言模型。Forescout使用的两个模型是Bison和Unicorn，Bison模型专门用于总结威胁事件，Unicorn更适合一般威胁情报并总结有关该威胁的所有已知信息。

如何实现大模型更好的安全性和可控性？笔者的建议是在企业内部通讯平台上新增加安全事件申报流程，运营人员提交基本信息后，调用API接口针对信息进行优化生成报告，返回给运营人员，运营人员确认后，需要第二人确认，才允许发送给运维或者资产负责人。

笔者选择不让运营人员直接与Gen AI交流的原因如下：Gen AI模型可能会受到运营人员的主观影响，导致输出结果不准确或不可靠；运营人员可能会误解Gen AI模型的输出结果，导致错误的解释或决策；运营人员可能会误解Gen AI模型的工作原理和限制，导致错误的使用或期望。其中最重要的是安全留痕。安全运营人员的经验良莠不齐，所以对Gen AI做出的决策还是需要高级安全运营人员确认，以减少失误，避免给企业造成损失。

还有就是安全人员对于Gen AI模型的偏好问题。笔者认为Gen AI模型可能会受到数据集的影响，导致输出的方案偏向某些特定技术路线。相较于国内国外的应用环境，安全运营人员需要考虑Gen AI提出的方案，是否会对企业的数据隐私以及技术透明度等方面造成影响，因此笔记建议考虑实际情况和法律法规后在做决定。

编写脚本

笔者在安全运营中心工作的时，需要与企业分公司IT相关负责人打交道。由于技术迭代的原因，需要对相关负责人资产进行排查杀毒残留、文件取证的时候，都需要我们编写脚本，通过公司内部通讯工具或者U盘交给相关负责人后进行。这个时候Gen AI简直就是神器，安全运营人员利用Gen AI来辅助脚本的编写，大大提高了工作效率，特别是应急响应期间。

但是我们还需要确保仔细检查Gen AI生成的脚本，AI生成的脚本可能存在错误或不完整的部分。运营人员应该仔细审查和验证脚本的准确性和可靠性。在审查过程中，可以与团队成员进行讨论和验证，以确保脚本的可用性；不要直接在生产环境中使用生成的脚本。生成的脚本可能存在安全漏洞或风险，应该在测试环境中进行验证和测试后再在生产环境中使用，以确保脚本的安全性；定期更新和优化AI生成， 随着系统和环境的变化，AI生成的脚本可能需要定期更新和优化，以保持其有效性和可适性。安全运营人员应该时时刻刻关注系统和环境的变化，及时调整和优化脚本。

大学在校生，曾获得绿盟1511PLAN网安特训营优秀学员称号，2022年FreeBuf年度十佳作家等荣誉等，曾在某安全大厂实习担任安服工程师（渗透方向）。有着比较丰富的项目经历，熟悉红队和免杀。