“AISecOps技術是以安全運營目標為導向,以人、流程、技術與資料的融合為基礎,面向預防、檢測、響應、預測、恢復等網路安全風險管控、攻防對抗的關鍵環節,構建資料驅動、具有高自動化水平的可信任安全智慧技術棧,可實現安全智慧範疇下的感知、認知、決策與行動能力,輔助甚至代替人在動態環境下完成各類安全運營服務。”
本文為《AISecOps白皮書精華解讀之背景內涵篇》的姊妹篇,基於上述AISecOps的核心內涵,將重點從指標體系、資料體系、技術框架、技術成熟度、技術圖譜等層次,介紹AISecOps的技術體系構建。
一、 AISecOps指標體系
網路安全運營能力的提供以目標為導向,從企業、組織、國家的願景目標出發,進而構建安全運營任務級別的運營指標,進一步指導構建資料與分析層面的技術指標,最終形成圖1 所示的層次化指標體系,以評估技術實現的有效性。
願景目標指企業、組織、國家等主體層面的核心安全、業務、商業目標。例如,維護IT基礎設施的穩定執行,保護核心資料資產,維護品牌價值的安全性等。這些願景目標與主體的發展目標密不可分。
運營指標以願景目標為基礎,針對網路安全相關的業務能力制定安全運營核心指標,以評估安全運營能力水平。在運營指標的導向下,需要有針對性地對資料融合水平和分析技術水平進行評估,以促進技術能力的迭代。
在資料層面,需要考慮包括覆蓋率、規範化、儲存時效、多樣性、互動性等指標;在分析層面,不僅要考慮傳統機器學習等技術的評估指標,包括預測精確性、召回率、ROC等,還重點考察場景覆蓋率、TOPN召回率/誤報率、整體/單點誤報率及模型可解釋性等面向可運營、易運營的分析指標,以合理促進技術與人、流程的深度融合。
圖1 AISecOp指標體系
二、 AISecOps資料體系
當前,大規模多維度網路安全大資料的接入,為透過資料分析發現、處置網路威脅帶來了全新機會。但考慮到可用的儲存、計算資源有限,對安全資料來源的甄選和統一處理就顯得尤為重要。從網路攻防的對抗本質出發,以給定的網路空間為戰場,以保護資產(包括實體資產和虛擬資產)並打擊威脅主體為目的,智慧化的威脅分析應該收集並構建以下維度的關鍵資料圖,如圖2 所示。
環境資料圖。如資產、資產脆弱性、檔案資訊、使用者資訊、IT系統架構資訊等。
行為資料圖。如網路側檢測告警、終端側檢測告警、檔案分析日誌、應用日誌、蜜罐日誌、沙箱日誌等。
情報資料圖。各類外部威脅情報。
知識資料圖。各類知識庫(如ATT&CK、CAPEC、CWE)等。
圖2 AISecOps資料分類
各類安全關聯資料(包括但不限於以上四個類別)已在很多大資料分析場景中被採用,但仍然沒有成熟、統一的體系描述這些資料的分類和使用模式。故應將這裡列舉的四類資料,從網路威脅事件分析實踐出發,透過圖結構組織起來,實現每個類別圖內關聯和不同類別圖間關聯,以滿足網路空間對抗的基本戰術需求,包括對環境的掌握、對威脅主體行動的理解、對外部情報的融合以及儲備基本知識。四圖分立,又透過指定型別的實體進行關聯,在保證不同型別圖資料表達能力的同時,實現了全域性的連線能力。
三、 AISecOps技術框架
圖3 闡述了AISecOps的技術框架,針對安全運營技術中的關鍵環節,參考人工智慧的經典正規化“感知-認知-決策-行動”和經典作戰決策OODA迴圈模型的“觀測-調整-決策-執行”體系,進行子任務及其階段劃分,每個階段包括多個不同子任務。
圖3 AISecOps技術框架
整體上,AISecOps技術框架包含兩個大的迴圈。一個是圖中實線覆蓋的機器自迴圈,這是AISecOps追求的運營關鍵任務自動化的終極目標。另一個是圖上虛線覆蓋的人-機協同迴圈,這一部分重點描繪人需要參與到運營自動化的每個關鍵環節中,同時充分獲取機器的資料反饋。高水平運營自動化實現的要義仍然是對“資料-資訊-知識”層次化的分析與挖掘,以應對動態不確定性的網路空間環境與高互動的攻防對抗過程。因此,唯有夯實網路空間資料的多層級任務能力基礎,才能避免搭建安全任務自動化的“空中樓閣”。實際上,現階段的威脅識別、溯源、預測等關鍵技術能力的智慧化水平,仍難以有效支援基於SOAR的精準響應。事件誤判、連線誤殺、決策黑箱等多種型別的技術瓶頸,使得更高水平的自動化智慧化實現在涉及高風險、關鍵決策的安全場景下難以有效部署。因此在當前階段下,人-機智慧的充分融合,就顯得尤為關鍵了。
四、 AISecOps技術成熟度
如圖4 所示,按照安全運營關鍵任務的自動化程度,參考自動駕駛自動化分級,將AISecOps技術的自動化水平劃分為L0~L5六個層次,對應無自動化到完全自動化。
圖4 AISecOps技術框架
透過技術框架的橫向技術階段劃分,明確了安全運營技術智慧化的關鍵需求與任務;透過基於技術成熟度的縱向分級,能夠有效劃定現階段發展層次與未來的發展方向。以上分類、分級方案,形成了AISecOps關鍵能力成熟度矩陣,以期現有的技術方案能夠更快速的找到其在AISecOps技術領域的定位,並與其他技術能力快速融合互動。
透過AISecOps技術成熟度矩陣的構建,能夠讓技術從業者不囿於技術泡沫造成的困惑。目前來看,在安全運營的智慧化技術領域中,我們整體上仍處於L1~L2級別的技術發展階段,多個單點技術水平已經在更高層次有所突破。同時我們所收集的資料、構建的模型、最佳化的演算法及搭建的系統,在特定場景下還未能有效符合安全運營的指標導向性需求,更不用說跨場景、自適應的更高層級運營自動化能力。總之,我們從實踐的經驗出發,距離高可用的、高自動化水平的智慧安全運營技術仍有較遠路程。
五、 AISecOps前沿技術圖譜
AISecOps智慧安全運營技術尚處於快速演進的階段,所採用的技術方案迭代非常快。為了充分探究技術的未來發展方向,定位關鍵能力瓶頸,白皮書總結了面向安全運營自動化、智慧化的十六種基礎前沿技術,並形成技術圖譜,以期為網路安全運營場景構建領域技術“內功心法”圖譜,如圖5 所示。
圖5 AISecOps前沿技術圖譜
技術圖譜在橫向上,按照面向攻擊對抗的識別粒度進行技術領域劃分,粒度自微觀到宏觀,包括指紋與特徵、技術與行為、戰術與意圖、戰役與組織、戰役與態勢。在縱向上,按照AISecOps智慧化的經典技術階段進行劃分,包括資料層面的融合建模,以及分析層面的風險感知、因果認知、魯棒決策、負責行動五大階段。同時,根據技術的核心資料來源不同,透過顏色進行區分,涵蓋環境資料、情報資料、知識資料、行為資料以及融合多維的綜合資料。透過總結並歸類十六種關鍵技術,試圖釐清AISecOps的技術分類,以支援技術方案的細粒度抽象與整合,支援安全運營智慧技術中臺等基礎平臺能力的構建。
AISecOps技術體系的總結,為智慧安全運營技術的進一步發展提出了層次的、系統的、前瞻的研究、應用方法論,為技術路線的制定指明瞭方向。後續精華解讀,將帶來AISecOps技術發展趨勢,敬請期待。