一个甲方CISO的自白:为什么选择使用安全GPT?

admin 2024年5月21日18:56:31评论8 views字数 5748阅读19分9秒阅读模式

一个甲方CISO的自白:为什么选择使用安全GPT?

我是一名甲方CISO,公司最高安全负责人。

有段时间,我有点飘。因为随着网络安全重要性的提升,CISO正从过往CIO(首席信息官)架构中独立出来,甚至可以向CEO直接汇报,有些CISO还能参与到企业决策工作中去。

这就意味着,时代变了,CISO肩上的责任更大,担子更重。当然,也意味着CISO地位高了,收入与职业前景也都水涨船高。

但是,去年某些时候,我又突然很焦虑。时代确实在变,尤其是生成式AI、AI大模型的崛起,着实让我有些措手不及。同时我也相信,许多CISO和我一样,多少都一脸懵逼:AI来得比野火燎原还要凶猛,扰乱了以往安全工作的舒适圈,被迫开启了躺也躺不平、站也站不稳的四十五度斜杠人生。

于是,我很快被时代当头一棒:一封钓鱼邮件入侵了我司的员工邮箱,最终导致部分数据和账号泄露。作为CISO,我必然要为此事背锅。

时代车轮已碾压到我的脸上

我当然不服,专门去研究了钓鱼邮件,赫然发现,得益于生成式AI技术的智能特性,已经可以快捷生成定制化钓鱼邮件,即不但具有针对性的内容,且每封邮件都针对特定员工特别设计。不但看起来非常真实,而且还因为不具有共同的恶意指标,居然绕过了公司安全防御系统。

那一次,我深深体会到了AI传递的寒意。黑灰产已经用上生成式AI,而我还沉浸于志得意满的安乐圈内。随后,我疯狂查阅和学习相关资料,尤其是看到Splunk发布的《2023年CISO报告:当今安全领导者面临的新兴趋势、威胁和战略》报告,我虎躯一震。

报告显示,70%的CISO认为,生成式 AI 将形成一种不对称战场,不可避免地让网络攻击者处于有利位置。35%的CISO已经将AI应用于积极的安全应用程序,61%的CISO可能在未来12个月内使用AI。

时代的车轮都已经碾压到我脸上了,我居然还没先行一步。在面对生成式AI攻击时,人已经不是双拳难敌四手,而是凡体肉身直接面对千臂修罗。

当然,我也是有私心的。作为一名CISO,万一工作干不好,公司把“I”给踢了,我的职业生涯也可能就“S”了,我只能仰天长叹“A……”。最终,我大概只是公司高层口中的一声“CAO”。

万幸,公司高层一致认为,生成式AI钓鱼邮件只是一个开始,如果不严加防范,哪天公司数据老巢被人端了,我们都可能不知道是谁干的。

以彼之道还施彼身,是古人的智慧。黑灰产用上生成式AI,因而未来安全容不得一丝马虎和侥幸,应当选择更强的安全GPT产品,方能在对抗中不落下风。

“上马!”

老板大手一挥,资金到位,接下来就是挑选安全大模型相关产品。大模型是AI能力的底座,可以持续训练学习,以不断提升安全能力。基于此,经过一番调研评估,深信服安全GPT成为我们麾下一员悍将。

一定要悍,不悍不行。就像刘备若少了关羽,岂能温酒斩华雄、斩颜良诛文丑、过五关斩六将、水淹七军,单刀赴会。我们希望悍将比关羽还强,因为就黑灰产把AI往死里用的干劲,未来折腾出来的玩意儿战力可能远超吕布。它造千臂修罗,我方起码要有千手观音。

哪个老板不想自家安全系统“一夫当关,万夫莫开”。深信服安全GPT的“悍”,我们自然做了充分的评估,它悍就悍在以下几个方面。

01
深厚安全能力积累+国内首发落地,已落地超130家用户

纵观网安市场,GPT类安全产品其实正处于爆发初期。很多时候,爆发是因为风口而起,而安全技术往往需要积累与实践。

“临阵磨枪,不快也光”在安全领域其实只适用于临时应急,正如洪水来袭,沙袋筑堤,只能能挡一时水患。而安全风险是持续性的、变化着的,就像洪水年年兴起,想要更彻底抵挡洪涝灾害,还是要筑堤修坝。而固若金汤的堤坝,需要时间沉淀和经验积累才能铸造。

作为CISO,选择GPT安全产品,自然要考虑到安全能力的积累。比如什么时候开始切入AI安全,AI大模型训练又依赖于硬件设施和专家团队。所以,我大概只能从超过十年生命的老安全厂商中去挑选相关产品。

基于我的要求,我了解了多家安全厂商,发现深信服早在2015到2016年就投身机器学习、深度学习的安全领域应用,其EDR、NDR、防火墙等拳头产品最核心的检测能力基本都构建于AI算法。

2022大模型时代开启,深信服依靠背后的资源迅速投身安全GPT的研发训练。依托超过数百张A100/A800显卡集群,400人又懂安全、又懂AI的专职硕博团队,以及作为安全的厂商积累了超过20年的安全大数据,深信服可谓是all in大模型。

另外,深信服还拥有独一份的数据飞轮,即设立国内首家规模最大的安全运营中心,真实的客户问答和运营场景,提供真实的人类专家数据反馈。

深信服早在去年5月18日就发布了安全GPT,在此之前,我似乎没听说过其他的安全大模型产品,并且在我抱着怀疑的态度申请试用后,对方很快就联系我沟通测试,短短几周便能够部署上线,完全超出我的预期。

不打PPT概念,深信服安全GPT是玩真的。”年初对方工作人员自豪地跟我讲,深信服安全GPT已经在超过130家用户的真实环境中落地。这么多组织单位已经领先一步,而我们才刚刚开始追赶时代的浪潮。

02
突出的“语言”能力,高效解析安全文本

我司的防御体系部署了多家厂商安全设备,在实测过程中发生了一件让我感到震惊的事,就是深信服安全GPT检测大模型在没有任何先验知识的前提下,第一时间独家检出某产品远程命令执行0day漏洞攻击。

要知道,我以前对人工智能的理解,就是觉得AI是建立在人类灌输的知识上的机械行为,叫AI智能实则是抬举了AI。这一次,我深深感受到了机器智能的厉害之处。

带着我的好奇,我主动找到深信服产品专家沟通,一番问东问西,人家也没太过藏着掖着,告诉了我一些基本原理: 

原来,通过海量的HTTP流量、日志、代码等数据的预训练而成的深信服大模型,具备了HTTP流量理解能力、代码理解能力、攻防对抗理解能力和安全常识理解能力,其综合能力类似一个攻防专家,能够研判各类高对抗攻击。

而这些能力的关键,是高质量的安全语料积累与数据工程实践。深信服拥有上千亿Token安全和通用语料,覆盖攻击手法、漏洞、黑客工具、威胁情报等领域,通用语料保证模型通用能力不遗忘。

此外,自动化数据生产流程,保证能够持续建设高质量训练语料。不光有深信服安全语料,还有互联网、学术界、威胁样本等安全语料。

也就是说,高级且大规模的安全语料赋能安全GPT安全能力,而安全GPT在实用过程中,又会不断吸收训练语料,这是一个相辅相成的过程。

一个甲方CISO的自白:为什么选择使用安全GPT?

就像《倚天屠龙记》中,张无忌身怀乾坤大挪移和九阳神功两大绝技,在与少林高僧打斗过程中,很快便学会了少林绝学龙爪手,且威力更胜少林高僧。

深信服安全GPT拥有多项实战数据。据公开资料查询得知,其在2023年9月至11月的两个月间,蓝军通过深信服安全GPT共捕获32个在野0day漏洞,这些漏洞细节在此之前从未被披露过。

一个甲方CISO的自白:为什么选择使用安全GPT?

03
强悍的钓鱼邮件识别方法

钓鱼邮件欺诈攻击,是我作为CISO职业生涯中的一个污点,也已成为我心中的一根刺。

所以,我想要的安全大模型产品,必须要有强大的防御钓鱼邮件的能力,否则若是此类钓鱼攻击再被黑灰产得手一次,在老板和公司高层的眼中,我的职业污点就会变成一个职业笑话。就算他们不主动让我卷铺盖走人,我可能也无颜立足。

而深信服安全GPT对于钓鱼邮件的识别方法,深得吾心。

众所周知,钓鱼邮件检测,最开始是从敏感词检测、发件源黑名单、外链识别入手,对邮件附件的检测也只局限于PE与非PE文件、静态分析、投递对抗等等,这些均是基于钓鱼邮件共有的一些特征和规则入手。

后来,机器学习算法加持检测钓鱼邮件,使得检测能力升级到模糊匹配和基线拟合层面,比如对已知样本变种检测、邮件内容主题抽取、附件行为动态分析、图片内容识别、邮件历史分析等等。

但是,这些能力还是不够,因为我们之前的防钓鱼安全产品则拥有如上能力,依旧还是未能识别出生成式AI根据员工定制化的钓鱼邮件。

这就说明,黑灰产将生成式AI定制邮件的能力多维度升级,已呈道高一尺魔高一丈的局势,再用老一套的防钓鱼手段,很难再抵御狡猾多变、效率奇高的黑灰产生成式AI。

以毒攻毒,以高级智慧对抗高级智能,才是王道。

所以,深信服GPT针对“意图”入手,即拥有了“意图”识别的能力

“意图”是智能系统中的高级词汇,像狡猾、绕行、伪装、定制等等,都带有某种意图在其中,也是高级智慧在“恶”的层面的体现。所以,如果能防住钓鱼邮件的“意图”,则便能超脱于过往的死规则,达到智慧的高度。

深信服GPT 3.0从钓鱼邮件综合意图评估和研判,如正文语义意图、URL跳转意图、网页语义意图、附件行为意图等等,再结合投递方式识别、攻击目的分析、视觉特征分析、历史邮件分析,最终达到钓鱼场景分类、异常点解读、意图综合分析,继而给出响应处置建议。

一个甲方CISO的自白:为什么选择使用安全GPT?

一个甲方CISO的自白:为什么选择使用安全GPT?

吾心深得,尽在此处。拔吾心刺,斩吾心魔。

04
高效智能的辅助安全运营能力

对于CISO而言,安全GPT产品能够听懂人的指令,当然是很重要的功能,但接受指令后辅助安全运营的能力,也是极为重要的方面。

就像战场上的士兵,听懂了指挥官的指令,但思想上消极怠工,或者军事技能压根处理不了战事工作,那也就是个der儿。

深信服安全GPT能够从本地数据、云端数据、产品FAQ等层面进行联动,从对人员的意图理解,到数据理解与生成,并解读情报、分析风险,给出操作建议等等,并且还能给出图文并茂的安全趋势解读。

一眼秒懂的感觉,就像当年月黑风高的夜晚,热恋对象看懂了我的眼神。

一个甲方CISO的自白:为什么选择使用安全GPT?

这种对话式的辅助安全运营能力,操作起来容易上手,使用一段时间便能得心应手,实在是CISO驰骋职场、带好安全团队的贴心小棉袄。

还记得前面所说的《2023年CISO报告:当今安全领导者面临的新兴趋势、威胁和战略》吗?报告也表达了广大CISO的心声:

86%的CISO认为,生成式AI将缓解安全团队的技能差距和人才短缺。这意味着,生成式AI将更有可能用于完成繁琐耗时的劳动密集型安全工作,从而让安全人员腾出时间从事更具战略性的安全工作

单这一点,就是我心头所好。

05
人工智能自主驱动的安全运营

安全威胁往往无时无刻存在,而人员运营纵有7*24小时在线,也会有力不能及,甚至疏忽大意的时候,这个时候就考验安全GPT的智能安全运营能力,即能够及时弥补人力的疏漏与能力的不足,主动担负起企业安全运营的重担。

说白了,安全人员当然会有精神松懈、志得意满摸鱼的时候,安全GPT必须支棱起来,做好它安全专家的职能。

安全攻击往往是一个持续性的过程,一波接一波,前后一般存在某种逻辑上的联系,所以安全操作指令也会一茬又一茬地发送。

以往很多人觉得人工智能不够智能,就是因为很多AI智能针对一个问题一问一答,或者只会处理单个指令,不能将上下问题联系在一起,更没有将之前问题的错误纠正、串联学习的逻辑能力。

深信服安全GPT即是弥补了这一缺陷——通过AI Agent技术,为自主驱动安全运营而生。其不但能将任务分解、自我反思,而且还有短期记忆、长期记忆、感官记忆的功能。

继而,配合告警API、事件API、资产API、漏洞API等工具,最终形成可靠的安全行动。并且能够适应端点主机环境、网络访问环境、云上业务环境等多种复杂环境。

人会摸鱼,但机器可不会。所以,有的时候,要相信人,也要相信机器。

此外,作为安全人员,最为头疼的肯定是告警。一波又一波的告警,肯定会让你一个脑袋两个大。大量告警相当消耗人力,因此许多安全运维人员对此疲于奔命。安全人员手忙脚乱,CISO肯定会焦头烂额。

深信服安全GPT能够针对安全告警全量研判,分析完当天所有安全告警,并分为自动化处置,待人员决策事件,大大缩减告警研判的人员精力消耗。

这项功能真是大大有用。在深信服安全GPT接入我司安全数据之后,在值守的40多天时间里,一共产生了近6万条告警,最终判定其中500多条告警为有效告警,需要人为关注。传统上被规则简单过滤的告警,均由深信服安全GPT进行逐条、全面细致分析,严格闭环判定是否为有价值、有效的告警。

经过检测,部分有效告警置信度达到了100%,安全GPT自动执行了封堵策略。而涉及敏感资产、关联信息不足的有效告警,则会给出建议结论,继而等待人工确认。

一个甲方CISO的自白:为什么选择使用安全GPT?

一个甲方CISO的自白:为什么选择使用安全GPT?

如此一来,安全团队轻松多了,我也有了撰稿写作、专业能力提升的时间。

有了安全GPT,还要安全运营人员吗?

大家都知道,工欲善其事,必先利其器。但是又有人难免会疑惑,器过于利,那还要人做什么?

因此,很多人不免会错误地认为,我既然有了如此智能的安全产品,还要安全运营人员做什么?直接把安全运营人员拿掉,岂不是还能降本增效?

这样的观念大错特错。这就像认为,医院有了那么多高精尖的检查仪器,还要医生干什么一样。优秀的医生,能够更好地利用好检测仪器,给出更精准的检测结果,继而更好地治病救人。

优秀的安全运营人员,也能够更好地匹配安全产品,调教安全产品。如今安全GPT产品都是经过各类预训练,不光需要厂商的训练,还需要CISO及其团队的适用与调教,两相结合,方能发挥出安全GPT的更强威力。

正如上文Splunk报告所言,生成式AI将更侧重于繁琐耗时的安全工作,让安全人员腾出时间从事更具战略性的安全工作。安全AI技术的提升,将人力从繁杂的安全工作中解放出来,安全人员不再为安全忙忙乱乱,将拥有更多精力配合好业务。

业务,是公司的生存命脉。很多时候,安全与业务的冲突,是因为安全工作太过消耗人力,让安全人员没有耐心也没有时间去思考安全与业务的关联,或如何让安全赋能业务。

另外,我们要区分安全GPT取代“工作”和取代“任务”之间的区别,安全GPT是在安全工作的繁杂工作中发挥辅助和增强的作用。通过强大的工具将人力从繁杂工作中解放出来的同时,我们也当思考,人力智慧在哪些方面超越机器智能,哪些能力可以不被机器取代,哪些价值可以联动机器共同创造。

正因如此,深信服安全GPT的目标即是迈向“秒级闭环”,全面解放安全运营生产力。让安全GPT更智能更聪明,也让安全业者拥有迈向更优秀更强大的时间和空间。彼此相辅相成,相得益彰

一个甲方CISO的自白:为什么选择使用安全GPT?

永远不要忘了,人类制造和使用工具,不是为了继续在工作中做牛做马,而是为了去做更有创造力的事情。

我做CISO,也会去追求我的星辰大海。

原文始发于微信公众号(安在):一个甲方CISO的自白:为什么选择使用安全GPT?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月21日18:56:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一个甲方CISO的自白:为什么选择使用安全GPT?https://cn-sec.com/archives/2763395.html

发表评论

匿名网友 填写信息