網(wǎng)絡(luò)安全行業(yè)以前也會用到人工智能技術(shù)�����,但當(dāng)時是小模型�����,很多問題沒有辦法解決��,通用性不強(qiáng)��。而現(xiàn)在大模型時代����,新的技術(shù)正在讓網(wǎng)安行業(yè)迎來“iPhone時刻”。
文|游勇
編|周路平
近幾個月���,大模型技術(shù)在各行業(yè)的落地應(yīng)用日新月異�。擁抱大模型�����,似乎成為歷史的必然���。
在數(shù)字化轉(zhuǎn)型的大背景下�����,這股沖擊波也席卷到網(wǎng)絡(luò)安全行業(yè)�����。
一方面�,是大模型帶來的負(fù)面效應(yīng),包括大模型自身可能造成的數(shù)據(jù)泄漏和虛假信息�����,以及其強(qiáng)大的生成能力��,讓黑客攻擊變得更加普遍和容易;另一方面�,相比于大模型自身潛藏的安全風(fēng)險���,大模型強(qiáng)大的推理能力和泛化性�����,正在對網(wǎng)絡(luò)安全行業(yè)帶來革命性影響��。
今年3月��,微軟基于GPT4.0發(fā)布了Security Copilot���,幫助安全人員提高響應(yīng)速度,提高威脅檢測和搜尋能力。緊接著是谷歌宣布推出Security AI Workbench�。這套新的安全模型針對安全用例進(jìn)行了微調(diào),并結(jié)合了谷歌強(qiáng)大的安全情報��,能有效解決網(wǎng)絡(luò)安全的三大挑戰(zhàn):威脅過載�����、工具繁瑣和人才短缺���。
國內(nèi)安全企業(yè)也在加緊步伐�。5月18日����,深信服首秀安全GPT技術(shù)應(yīng)用。專屬網(wǎng)安行業(yè)的“iPhone時刻”�,真的來了嗎?
01
一把跨時代的“新榔頭”
“然而,按照歷史的經(jīng)驗��,攻擊者對新技術(shù)的采用往往比防守的還要快��。”賽博英杰創(chuàng)始人譚曉生對數(shù)智前線說�����,對于網(wǎng)絡(luò)安全行業(yè)而言,大模型帶來的降本增效�����,首先受益方是攻擊者���。
情況也確實如此��,釣魚郵件的攻擊數(shù)量在全球范圍內(nèi)明顯上升�����。網(wǎng)絡(luò)安全公司Darktrace研究發(fā)現(xiàn),2023年前兩個月�����,攻擊者使用ChatGPT等生成式AI����,通過增加文本描述、句子長度以及標(biāo)點符號���,讓釣魚郵件等社會工程攻擊量增加了135%����。
數(shù)據(jù)顯示,全球每秒會發(fā)生1287次密碼攻擊����,在過去5年內(nèi),安全攻擊數(shù)量增長了67%���。疫情以來�����,網(wǎng)絡(luò)攻擊速度也在快速提升���。過去,當(dāng)用戶點擊釣魚鏈接后�,攻擊者平均需要幾周甚至幾個月才能黑進(jìn)用戶郵箱,而如今�����,所需時間已縮短至1小時12分鐘�����。
歐盟執(zhí)法機(jī)構(gòu)歐洲刑警組織曾警告,ChatGPT可能被濫用于網(wǎng)絡(luò)釣魚���、宣傳虛假信息以及網(wǎng)絡(luò)犯罪�。在一些暗網(wǎng)和黑客社區(qū)�����,很多黑客聲稱已經(jīng)用大模型成功構(gòu)造了一些新的加密算法�����。但利用大模型進(jìn)行規(guī)�����;舻那闆r還沒有出現(xiàn)。
深信服研發(fā)總經(jīng)理梁景波向我們講解了這樣的場景:攻擊者只需要跟大模型做幾次簡單的對話�����,就可以生成復(fù)雜的攻擊手法���,可以在短時間內(nèi)讓高級攻擊手法比過去激增上萬倍。
“未來攻擊者在大模型的加持下�,復(fù)雜攻擊會變成一個新常態(tài)�。傳統(tǒng)引擎在這種情況下基本都會失效���,使用大模型對抗大模型才是新時代的出路�。”梁景波說����。
“安全領(lǐng)域的攻防是釘子和榔頭的關(guān)系。”顯然��,大模型催生了攻擊手段升級�����,將猶如一顆“新釘子”刺痛網(wǎng)安行業(yè)����,不得不防。而大模型這一把跨時代的“新榔頭”�,正在瞄準(zhǔn)這顆“新釘子”。
值得注意的是���,“當(dāng)找到一個新榔頭的時候��,也能把老釘子全都砸一遍����。”譚曉生說。對于以往常見的攻擊手段����,傳統(tǒng)檢測引擎在大模型的加持下,則將實現(xiàn)更加高效率的檢出���,相信能夠帶動整個行業(yè)生產(chǎn)力的提升�。
這些已然成為安全行業(yè)的一個共識���。
02
模型并非越大越好
只不過��,行業(yè)存在共識����,也出現(xiàn)了新的分歧�����。
當(dāng)前大模型的訓(xùn)練大體有兩條路徑:一個是大廠都在訓(xùn)練的通用大模型�����,參數(shù)大���、成本高���,通用性強(qiáng);另一個是在各垂直領(lǐng)域的企業(yè),開始利用GPT技術(shù)����,通過投喂行業(yè)數(shù)據(jù),訓(xùn)練行業(yè)的專用模型��。
但在落地到具體行業(yè)時��,大多數(shù)人往往會面臨一個誤區(qū):模型應(yīng)該越大越好���。
事實并非如此���。深信服安全業(yè)務(wù)市場運(yùn)營總監(jiān)羅政權(quán)指出,一是通用大模型需要消耗大量算力�����,背后是巨大的成本壓力,但這種通用的能力并不完全被行業(yè)需要�,無論是醫(yī)藥、工業(yè)���,還是在安全領(lǐng)域���,都不是讓大模型去寫詩作畫。二是參數(shù)量太大�,在行業(yè)部署時也是一個非常大的挑戰(zhàn)。
梁景波也提到���,安全行業(yè)訓(xùn)練超大參數(shù)的模型反而會浪費計算資源�����,并且未必能發(fā)揮出超大參數(shù)的優(yōu)勢�。因此無論是算力消耗��,還是后續(xù)演進(jìn)的上限�,將垂直領(lǐng)域的安全GPT做得更專業(yè),才會有更好的效果�。
根據(jù)其官方說法,深信服安全GPT作為自研的垂直領(lǐng)域?qū)<夷P���,�?ldquo;大模型算法+威脅情報+安全知識”訓(xùn)練而成。
顯然�,“新榔頭”不需要越大越好���,“瞄得準(zhǔn)”才是王道�。
首先����,人工智能算法的積累和實踐非常關(guān)鍵。雖然GPT涉及的人工智能技術(shù)都不是新的發(fā)明��,但這并不意味著��,直接拿一個開源的大模型�����,然后加入行業(yè)知識就能訓(xùn)練出一個效果很好的行業(yè)大模型����。
GPT本身被認(rèn)為是工程上的成功,背后還有大量產(chǎn)品化和工程化的難題����。微軟和谷歌在這一點上無疑有著非常深的積累����。無疑����,快速推出安全大模型的關(guān)鍵,是背后的技術(shù)積累����。
深信服從2016年就開始不斷加碼AI技術(shù)應(yīng)用,并確立了AI First的研發(fā)戰(zhàn)略����。從小模型時代開始,深信服就貫通了云�、網(wǎng)、端�,打通了數(shù)據(jù)采集、算法訓(xùn)練��、產(chǎn)品化落地�����、迭代運(yùn)營的自動化全流程���,截至目前���,已經(jīng)在文件分析���、行為檢測�、日志分析等十幾個不同的安全技術(shù)領(lǐng)域應(yīng)用了人工智能。
正如深信服董事長何朝曦所言���,作為一家既做安全又做云計算的公司���,深信服在安全領(lǐng)域應(yīng)用GPT技術(shù)具備天然優(yōu)勢:一是擁有較多的算法、安全�����、調(diào)優(yōu)算力人才�,尤其是既懂AI又懂安全的人才;二是對威脅情報和攻防技術(shù)擁有深刻的理解。
目前����,深信服內(nèi)部有提出規(guī)則、判斷模型效果的安全專家���,有處理數(shù)據(jù)跟訓(xùn)練模型的算法專家����,還有要去提升算力的算力專家,從最底層的算力�,到行業(yè)數(shù)據(jù)到人工智能算法,都有相應(yīng)的積累和儲備。
其次�����,高質(zhì)量的企業(yè)級數(shù)據(jù)也是訓(xùn)練行業(yè)大模型的關(guān)鍵��。比如谷歌的安全大模型產(chǎn)品在發(fā)布時�,高質(zhì)量數(shù)據(jù)也被認(rèn)為是其優(yōu)勢�。
作為國內(nèi)頭部安全廠商,深信服在線的網(wǎng)關(guān)設(shè)備數(shù)量最多���,過去積累了豐富的線上情報數(shù)據(jù)集����,這些數(shù)據(jù)不僅能構(gòu)建自動化的數(shù)據(jù)清洗和質(zhì)量管理流程�����,不斷生成大量為AI訓(xùn)練專門準(zhǔn)備的高質(zhì)量數(shù)據(jù)。
與單純的安全產(chǎn)品公司不同�����,深信服通過安全托管服務(wù)���,幫助用戶應(yīng)對實際的安全威脅���,同時積累下來的工具和能力���,也沉淀成為寶貴的安全資產(chǎn)庫��。在深信服托管云和超融合的算力支撐下���,經(jīng)過海量安全數(shù)據(jù)的投喂,以及深信服安全專家調(diào)試����,深信服安全GPT目前在多個安全專業(yè)領(lǐng)域達(dá)到了專家水平。
所以�����,從這個角度來看,深信服能率先秀出安全GPT技術(shù)應(yīng)用也是順理成章����。目前,深信服安全GPT技術(shù)應(yīng)用XDR平臺�����,已經(jīng)開啟內(nèi)測����,未來深信服所有的安全產(chǎn)品和服務(wù)都會接入深信服安全GPT。
03
“新榔頭”到底“新”在哪兒?
安全GPT首秀給業(yè)界帶來驚艷的同時���,外界對人工智能在安全行業(yè)的應(yīng)用也出現(xiàn)了不同的聲音����,諸如“不懂安全的用了也白用”“以往AI檢測技術(shù)誤報率高”等質(zhì)疑�����。
這樣的聲音并不讓人感到意外�。人工智能本身不是個新鮮詞匯,幾經(jīng)起伏,一直沒有到達(dá)技術(shù)的臨界點�,人工智能也被調(diào)侃為人工智障,如iPhone手機(jī)里自帶的語音助手Siri�����,就長期被詬病���。
網(wǎng)絡(luò)安全行業(yè)對人工智能技術(shù)的應(yīng)用也不陌生�����。從最開始的大數(shù)據(jù)分析�����,到后面的深度學(xué)習(xí),每家廠商或多或少往AI靠��,但整體效果并不如人意�����。
早在十幾年前�,基于人工智能的殺毒引擎就開始用于惡意代碼檢測,當(dāng)時還是基于支持向量機(jī)��、隨機(jī)森林等人工智能算法。后來�����,基于人工智能技術(shù)對網(wǎng)絡(luò)流量的惡意攻擊進(jìn)行檢測�,但效果并不太好。檢出率雖然很高����,但誤報率也很高,運(yùn)維人員根本處理不過來���。在安全領(lǐng)域����,誤報率是一個非常敏感的指標(biāo)�����,不僅把壞人攔住了�����,也把很多好人攔住了,會影響用戶的正常業(yè)務(wù)�����。
這是小模型時代的通��。赫`報率太高,對安全運(yùn)營人員投入精力與專業(yè)度要求也高����。
羅政權(quán)也強(qiáng)調(diào),小模型只能用于單一的檢測場景�����,比如威脅發(fā)現(xiàn)�����、漏洞利用��、Web攻擊的檢測�����,價值沒有最大化����,用戶的感知也不夠明顯。
再者���,小模型沒有通用性�����,還需要大量的算法專家和安全專家不斷的構(gòu)建模型����、訓(xùn)練�、調(diào)優(yōu),投入成本高��,復(fù)用率也不高����。
而GPT大模型,這把“新榔頭”的優(yōu)勢�,在安全領(lǐng)域得以“煥新”。
微軟Security Copilot在發(fā)布時��,著重提到了三重價值:一是大幅加快事件響應(yīng)速度����,自動撰寫事件報告�����。二是提高威脅檢測和搜尋能力����。三是緩解人才短缺問題�����。
谷歌則在推出安全大模型產(chǎn)品時�����,曾暢想了這樣一個世界:新手和安全專家與人工智能專業(yè)知識相結(jié)合�,他們能夠從重復(fù)工作中解放出來,完成今天看來似乎不可能完成的任務(wù)�����。
“想象一下未來的網(wǎng)絡(luò)安全防御���,在你搭建基礎(chǔ)設(shè)施的時候��,就會自動生成安全策略���、安全控制和安全配置——這是我們正在研究的一個應(yīng)用場景,將在安全運(yùn)營和安全管理領(lǐng)域引發(fā)一場變革���。”谷歌云工程副總裁Eric Doerr說�。
這些能力在深信服安全GPT技術(shù)應(yīng)用的演示中已經(jīng)得到呈現(xiàn)��。深信服通過與多家國內(nèi)外廠商的對比測試���,結(jié)果非常明顯����,表現(xiàn)最好的傳統(tǒng)安全引擎�,高級威脅識別率只有45%。而賦能安全GPT的XDR平臺���,高級威脅識別率達(dá)到了95%�,誤報率也從21.4%降到了4.3%�,“已經(jīng)達(dá)到5年經(jīng)驗的安全專家水平”。
更關(guān)鍵的是��,大模型既有泛化的檢測能力,也要有高質(zhì)量的攻擊解釋能力��,能讓一個沒有太多安全經(jīng)驗的人��,看明白發(fā)生了什么���,并且找出漏洞��,最后提供方法����。這是大模型帶來的技術(shù)上的一個飛躍�。
“未來,‘安全+大模型’會成為安全建設(shè)的新范式��,很多安全場景都會被重新定義���。”梁景波說��。一個初級安全工程師����,在安全GPT技術(shù)的加持下��,很快可以變成一個高級專家。而過去需要多個安全專家做的事情��,現(xiàn)在只需要一個安全專家就可以完成��。
除此之外�,深信服安全GPT技術(shù)應(yīng)用也有自身特色����。比如在使用體驗層面做得更領(lǐng)先,是開展安全工作的智能駕駛艙���。僅需在XDR平臺首頁窗口進(jìn)行簡單對話����,即可用文字��、圖表等多模交互的方式���,輸出關(guān)鍵指標(biāo)�,幫助用戶全局掌控安全趨勢���,滿足日常/特殊時期的價值感知需求���。
其次��,AI技術(shù)架構(gòu)在用戶側(cè)的落地����,依賴于“開放平臺+領(lǐng)先組件+云端服務(wù)”的體系��。通過開放的平臺�����,享受云端在線�、海量數(shù)據(jù)的能力;通過領(lǐng)先的組件,抓取攻擊現(xiàn)場的豐富數(shù)據(jù)�����,并基于云端和本地的模型進(jìn)行防護(hù);再通過云端的服務(wù)����,提供7*24h在線的服務(wù)兜底。深信服安全GPT技術(shù)應(yīng)用在XDR平臺����,平臺具備云化交付能力����,內(nèi)置與大量組件的聯(lián)動能力�,無需配置,開箱即用����。
“AI大模型應(yīng)用于安全領(lǐng)域現(xiàn)在仍然在非常早期的階段����。”何朝曦說,深信服在安全大模型方面的工作只是剛開了個頭���,后面還有很多工作�,包括將其應(yīng)用于終端檢測�、對數(shù)據(jù)的分析和保護(hù),以及進(jìn)一步加強(qiáng)在安全運(yùn)營方面的自動化能力���。
鄂公網(wǎng)安備 42112402000149號