以ChatGPT为代表的生成式AI无疑是本次大会的最大噱头。笔者观看的每个演讲都要提及。即便是跟生成式AI应用最无关的议题,演讲者也有办法将其与之联系起来。譬如会说“我在写这个议题的胶片时,询问了ChatGPT应该从哪几个方面进行阐述”,然后引来台下一片大笑。纵观具体谈及生成式AI的议题,基本可以分为如何应用生成式AI进行防御、如何应用生成式AI进行攻击,以及讨论生成式AI自身的安全性。而关于如何应用生成式AI这块,目前基本都把焦点放到了安全运营上。正如笔者此前在文章《ChatGPT在安全运营中的应用初探》中所述,目前生成式AI在网络安全领域的最佳应用场景几乎都来自安全运营,并涵盖从事件检测、调查、响应到汇报的各个环节。微软在2023年3月底抢先发布了基于生成式AI(GPT4)的Security Copilot(安全副驾),为用户提供了一个安全运营智能助理。发布会上,微软演示了3个应用生成式AI的安全运营场景,分别是基于Prompt的威胁猎捕、事件响应和出具安全报告。在RSAC大会上,谷歌发布了基于安全领域专用的LLM(称作“Sec-PaLM”)的Google Cloud Security AI Workbench(谷歌云安全AI工作台),赋能客户、伙伴和自身的安全产品,实现智能化安全运营。笔者观看了功能演示,主要应用场景包括基于AI的恶意代码检测,生成情报洞察摘要报告,基于自然语言的事件查询与调查,智能化检测规则生成,以及基于生成式AI的事件摘要和攻击图摘要说明。同样,在RSAC大会上,SentinelOne也推出了自己的安全专用生成式AI——Purple AI,通过基于自然语言的多轮对话形式,协助用户进行威胁猎捕、分析与响应。有趣的是,这些厂商发布的安全专用生成式AI产品无一例外都仅提供有限预览,何时正式发布基本都还没有确切时间。这一方面体现了生成式AI的火爆导致厂商纷纷抢占山头,另一方面也说明该项技术在网络安全(主要是安全运营)领域的应用尚不成熟。可以肯定的是,专门面向安全领域的生成式AI对安全运营必将产生深远的影响,正如微软安全业务的副总裁Vasu Jakkal在《Defending at Machine Speed》演讲时所说,“AI应用于安全的拐点已来”。因此,在战略层面要高度重视生成式AI。微软描绘了应用于安全领域的AI的三个基本要素:AI技术自身(尤指生成式AI)、超大规模的安全数据,以及威胁情报。简单说,就是:安全领域的AI=算法+数据+知识。谷歌的Sec-PaLM的底层逻辑基本上也是如此,思科亦是如此。而安全领域专用的生成式AI对安全运营的深远影响核心就体现在简化二字之上。它通过全新的用户体验(微软称为新的生产力范式),也就是基于自然语言的最“人性化“的方式,简化了人与机器(工具)之间在安全运营时的交互过程,也简化了人与人的专业知识传承过程。未来不再需要人去做事件标准化,去写机读的查询语句、规则、脚本和剧本。思科的Jeetu Patel 在题为《Threat Response Needs New Thinking》的演讲中也提出了同样的观点:用AI简化安全。思科虽然尚未发布自己的LLM,但也畅想了一番AI加持下的全新安全运营用户体验。但是,无论我们如何在战略上重视安全专用生成式AI,都不要忘记一点:安全的对抗本质还是人与人的较量。笔者认为,在可见的未来,AI技术依然无法改变这点。正如微软的Vasu Jakkal所说:“在安全领域,要讨论的不是(AI)技术能做什么,而是人在(AI)技术加持下能做什么”。即便是Trellix的CEO Bryan Palma提及未来SOC将由机器人来操作的时候,也没有忘了说这些机器人是在人领导下的,受人指挥调度和监督的。在战术层面,必须清醒地认识到当前生成式AI技术在安全运营领域的应用还比较初级,并应充分挖掘可以发挥生成式AI基本特长的安全运营应用场景。当前的核心是如何将自然语言翻译为机读指令(规则、策略、脚本、剧本等),最终安全运营平台和工具执行的还是原来那些机读指令。然后再使用生成式AI对结果进行解读,并开启新一轮人机交互。如前所述,安全领域的生成式AI不仅依赖于算法和数据,还严重依赖于安全知识(经验、流程、情报等)。在从海量安全数据中找寻隐匿的威胁方面,还需要灌输人类的知识,尚无法实现自主检测。笔者认为,在生成式AI一统AI之前,包括知识图谱在内的分析型AI依然还有用武之地。
智能自动化是安全运营的必由之路
在某种意义上,安全运营自动化的本质上也就是简化。安全运营自动化通过对使用者提供一种简化的交互模式,来提升安全运营的效率,降低运营的复杂度和成本。聆听与会大咖们的发言,可以明显地感受到,安全运营的自动化正在从传统的机械式自动化向AI加持的智能自动化、认知自动化,或者说超自动化方向演进。如果说生成式AI让我们获得了空前的思考力,那么AI加持的智能自动化将让我们获得空前的行动力。对于安全运营而言,行动才是一次运营活动闭环的标志。Akami的首席安全官Boaz Gelbord在关于未来安全趋势的演讲中,将自动化列为第一个大趋势。他认为,安全想要赶上数字化时代的业务发展速度(speed of business),要赶上攻击者的速度(speed of adversary),不能再依靠人工操作,而必须借助自动化,用机器速度(speed of machine)来对抗机器速度。IBM QRadar的产品经理们在《Siloed to Unified: The Evolution of the Security Analyst Experience》演讲中,提出了改善分析体验的三个基本策略:统一工作流、融合AI和自动化、利用开放标准。下图展示了一个用AI赋能的自动化安全事件调查过程。通过这套智能自动化过程,简化了安全运营的流程步骤,缩短了调查和响应时间,提升了分析师体验。
重新定义安全运营的“平台”
如前所述,企业和组织都迫切希望降低安全(不仅是安全运营)的复杂性,简化安全,并提升效率。受此影响,在安全的各大领域纷纷出现了旨在整合该领域内不同安全技术的平台。如果说整合是安全发展的内在驱动力,那么平台就是这个驱动力的具象化。这里的平台既包括单一安全厂商提供的全家桶式平台,也包括跨厂商的开放式平台。这些领域包括整合边缘网络安全的SASE,整合数据安全的DSP,整合身份安全的CIP(下一代身份平台),整合云安全的CNAPP,整合检测与响应的XDR,当然也包括整合不同安全运营技术的未来SOC。未来安全厂商之间的竞争将从产品的竞争发展到平台的竞争。这时的平台已不再是传统的平台。RSA的CEO Rohit Ghai在介绍当前身份管理面临的危机时,提到了身份管理平台的三次发展浪潮。笔者认为,身份平台发展的三个阶段同样适用于其它平台,包括安全运营平台。第一代平台:核心是通过各种API将各种碎片化的安全能力组装到一起,这时候关心的是“能组装到一起吗?”第二代平台:核心是形成一个全景图,获得对目标的可见性,这时候关心的是“这个图长什么样子?”第三代平台:核心是形成洞察,做出决策,这时候关心的是“这幅图代表了什么含义?我该做些什么?”如果我们采用上面的代际划分方法论,显然,随着AI应用于安全的拐点到来,安全运营的平台开始迈入第三代。鉴于不同的人对安全运营平台的代际划分可能不同,笔者姑且将这个新时代的安全平台称作“未来安全平台”,将新时代的安全运营平台称作“未来SOC”。那么,未来SOC具备什么核心特征?对此,业界现在还没有统一答案,但RSAC大会上的发言可以引发我们深入思考。思科的Jeetu Patel在题为《Threat Response Needs New Thinking》的演讲中提出了跨域原生遥测的概念,强调未来平台要能够采集和集成多种原生的遥测数据。思科的另一位副总裁Tom Gillis则进一步阐释了未来平台应该是预先集成和组装好的,用户开箱即用的,而不能是用户买回来一堆零部件自己组装的。派拓网络的首席产品官Lee Klarich则将原生集成作为未来平台的关键能力。这一提法跟思科的思路大体一致。他表示,以前的集成往往做不到被集成的能力都是同类最佳的,而新的原生集成将可以做到“既要又要叒(还)要”。
评论