建设与运营并重,已成为现阶段网络安全产业界的技术共识之一。在攻防对抗升级、大数据涌入的背景下,安全运营的智能化势在必行。然而,随着安全智能技术应用的深入,数据模型的欠语义化、黑盒不透明、参数敏感等潜在问题逐渐暴露,愈发难以满足安全运营实践的可运营需求。智能技术本身的可运营属性,已经成为新技术与方案设计中不可回避的问题。
本文为《AISecOps智能安全运营技术白皮书》精华解读第三篇,将重点介绍AISecOps智能安全运营技术的发展趋势。
一、安全智能技术的信任危机
“信任”一直以来都是安全技术的中心词之一,任何目标是可靠的、可控的、自动化的、安全的技术方案,都离不开信任体系的建立。近年来的热点,“零信任”强调面向身份的信任机制,“可信计算”尝试软硬一体的构建完整的信任平台,区块链通过分布式的账本系统解决陌生信任问题。而安全应用的智能化、自动化进程中,技术的可信任特性不是原生的。
相信无论是安全运营还是安全研究,从业者应该或多或少的感触到新技术的引入确实带来新的机会以及挑战。就以深度学习为代表的各类检测系统为例,模型应用过程中,首先面对的是在复杂开放的网络数据环境下准确性下降;而由于复杂模型的不可解释性,使用者仍需要再次调查原始数据进行结果确认;此外,还需要担忧所使用的模型是否会被对抗样本攻击、被信息窃取等等。从最初期待使用高性能算法去解放人工分析的生产力,最终却感叹还是专家规则和黑白名单靠谱,这让我们对安全智能化失去一些信心,甚至产生信任危机。
二、安全智能的技术认知与期望
罗马不是一日建成的,AISecOps技术能力的构建也不是简单的复制其他业务的经验就能一蹴而就。实际上,当今最火热最成熟的人工智能技术,应用场景铺的面非常广,但是应用深度却显不足。类似智能语音服务、图像识别这类服务,是典型的智能化场景,却也只限制于较为低层次的感知层面的任务。在任何自动化过程中需要关键任务决策的,安全、经济、政治、甚至生命攸关的技术场景,如军事、金融、医疗、自动驾驶、法律判决等等,当前的人工智能技术仍难以有效胜任,只能应对场景中的部分问题,距离高度的任务自动化相去甚远。网络安全运营正是此类场景之一。可以说,当前智能化技术本身的不成熟,难以赢得人的信任,成为限制其在许多场景下深入应用的关键问题。
三、打造可信任安全智能
无论如何,打造更可信任的人工智能,弥补人在处理海量数据过程中的先天不足,打造可信的智能“战友”,始终都是我们的终极追求。人工智能技术在网络安全中的应用,一方面,可以“直接拿来”,应用到网络安全数据分析的非核心场景和流程上,辅助安全工作,如使用自然语言处理技术分析威胁情报或者构建专家系统的对话机器人;使用成熟的图像处理技术检测恶意图片、视频等等。另一方面,需要“优化打造”,构建针对威胁检测、评估、关联、响应等阶段的核心安全智能。
如图2所示,从构建技术信任的角度,以提升关键安全能力自动化水平为目标,可信任的安全智能体须具备满足以下核心技术要素的要求,包括预测性能能够适应高度动态的网络环境和攻击场景,模型算法需透明可解释、鲁棒安全、保护隐私,智能技术的执行过程和结果需合法合规、可审计,并在决策执行中满足社会道德约束。以上多个技术要素,互为补充又相互依赖,需要在设计之初充分考虑。正如我们更倾向选择能力强、善于沟通、抗压能力强、高尚守法的人作战友,具备以上技术要素的机器智能更能够获取人的信任,并胜任高级别的安全运营自动化任务。
可信任安全智能体系的技术要素
在可信任安全智能体系的探索过程中,需要充分融合可解释人工智能XAI、隐私保护技术、图挖掘与分析、智能决策系统、风险评估、人机交互等多学科、多领域智能化技术能力,为安全运营的感知、认知、决策和行动多阶段的任务赋能。
三、共建AISecOps技术生态
网络安全关系到国计民生,国际形势在快速变化,潜在攻击组织可能通过任何一个脆弱点打破网络安全防线。因此,安全运营看似是企业、组织的自家事,实际上是关系到国家安全的关键环节。从近年来国家级网络威胁情报体系的建设、城市级安全运营中心的雨后春笋般的落地,可窥网络安全运营建设的国家战略眼光。随着安全运营体系的扩展,所需防护资产从个人、企业、组织的私有资产,逐渐扩大到地区级、国家级关键基础设施及数据资产。
此外,技术的发展需要技术生态的构建,以提供持续的、全方位的资源支撑,AISecOps技术的发展也不例外。现阶段,安全厂商林立,安全技术方案层出不穷,然而在数据、技术、平台等多层上缺乏规范性约束,在技术交流上缺乏共识元语,在共享合作上缺乏监管机制,多个方面的统一生态的缺失,造成了技术发展的减速。因此,无论从现实需求还是从技术发展的关键途径来看,AISecOps智能安全运营技术生态体系的建立已是迫在眉睫。
AISecOps技术生态的构建
如图3所示,本文将AISecOps技术生态的构建,概括为规范标准、数据共享、技术开源、生态共建这四个层次。通过行业级、国家级标准的建设,对齐、统一、规范安全运营的关键流程与技术接口,以有效在统一体系下明确分工,优中取优;通过数据共享,建立安全运营技术的标准试验场,促进技术能力的比武与竞争发展;通过技术开源,带动关联技术社区的繁荣,吸引和培养更多安全运营技术人才;最后,通过交流平台与机制共建,打通沟通壁垒、降低合作门槛,真正实现常态化、持久化、全方位的技术交流。
四、总结
网络安全技术发展已进入以安全风险全生命周期自适应管控与运营为核心的新阶段,面对大规模、多源、高维运营数据的涌入与融合,构建可信任的、可运营的智能安全运营技术体系,支撑网络安全防御体系迈向高度智能化、自动化,解放安全运营的生产力,已成为新基建数字安全时代的重要技术课题。
AISecOps白皮书,尝试从技术沿革、内涵思考、框架构建、成熟度分析、前沿技术汇总和展望等多个维度,梳理和总结安全运营智能化实践中的关键问题与阶段成果,期望能够为安全智能与运营智能技术的发展和生态的创建,注入新的推动力。
更多内容详情,请参考《AISecOps智能安全运营技术白皮书》(链接)《AISecOps:智能安全运营技术发展思考》(CCCF链接:https://dl.ccf.org.cn/institude/institudeDetail?_ack=1&id=5187981007816704)