建設與運營並重,已成為現階段網路安全產業界的技術共識之一。在攻防對抗升級、大資料湧入的背景下,安全運營的智慧化勢在必行。然而,隨著安全智慧技術應用的深入,資料模型的欠語義化、黑盒不透明、引數敏感等潛在問題逐漸暴露,愈發難以滿足安全運營實踐的可運營需求。智慧技術本身的可運營屬性,已經成為新技術與方案設計中不可迴避的問題。
本文為《AISecOps智慧安全運營技術白皮書》精華解讀第三篇,將重點介紹AISecOps智慧安全運營技術的發展趨勢。
一、安全智慧技術的信任危機
“信任”一直以來都是安全技術的中心詞之一,任何目標是可靠的、可控的、自動化的、安全的技術方案,都離不開信任體系的建立。近年來的熱點,“零信任”強調面向身份的信任機制,“可信計算”嘗試軟硬一體的構建完整的信任平臺,區塊鏈透過分散式的賬本系統解決陌生信任問題。而安全應用的智慧化、自動化程式中,技術的可信任特性不是原生的。
相信無論是安全運營還是安全研究,從業者應該或多或少的感觸到新技術的引入確實帶來新的機會以及挑戰。就以深度學習為代表的各類檢測系統為例,模型應用過程中,首先面對的是在複雜開放的網路資料環境下準確性下降;而由於複雜模型的不可解釋性,使用者仍需要再次調查原始資料進行結果確認;此外,還需要擔憂所使用的模型是否會被對抗樣本攻擊、被資訊竊取等等。從最初期待使用高效能演算法去解放人工分析的生產力,最終卻感嘆還是專家規則和黑白名單靠譜,這讓我們對安全智慧化失去一些信心,甚至產生信任危機。
二、安全智慧的技術認知與期望
羅馬不是一日建成的,AISecOps技術能力的構建也不是簡單的複製其他業務的經驗就能一蹴而就。實際上,當今最火熱最成熟的人工智慧技術,應用場景鋪的面非常廣,但是應用深度卻顯不足。類似智慧語音服務、影像識別這類服務,是典型的智慧化場景,卻也只限制於較為低層次的感知層面的任務。在任何自動化過程中需要關鍵任務決策的,安全、經濟、政治、甚至生命攸關的技術場景,如軍事、金融、醫療、自動駕駛、法律判決等等,當前的人工智慧技術仍難以有效勝任,只能應對場景中的部分問題,距離高度的任務自動化相去甚遠。網路安全運營正是此類場景之一。可以說,當前智慧化技術本身的不成熟,難以贏得人的信任,成為限制其在許多場景下深入應用的關鍵問題。
三、打造可信任安全智慧
無論如何,打造更可信任的人工智慧,彌補人在處理海量資料過程中的先天不足,打造可信的智慧“戰友”,始終都是我們的終極追求。人工智慧技術在網路安全中的應用,一方面,可以“直接拿來”,應用到網路安全資料分析的非核心場景和流程上,輔助安全工作,如使用自然語言處理技術分析威脅情報或者構建專家系統的對話機器人;使用成熟的影像處理技術檢測惡意圖片、影片等等。另一方面,需要“最佳化打造”,構建針對威脅檢測、評估、關聯、響應等階段的核心安全智慧。
如圖2所示,從構建技術信任的角度,以提升關鍵安全能力自動化水平為目標,可信任的安全智慧體須具備滿足以下核心技術要素的要求,包括預測效能能夠適應高度動態的網路環境和攻擊場景,模型演算法需透明可解釋、魯棒安全、保護隱私,智慧技術的執行過程和結果需合法合規、可審計,並在決策執行中滿足社會道德約束。以上多個技術要素,互為補充又相互依賴,需要在設計之初充分考慮。正如我們更傾向選擇能力強、善於溝通、抗壓能力強、高尚守法的人作戰友,具備以上技術要素的機器智慧更能夠獲取人的信任,並勝任高階別的安全運營自動化任務。
可信任安全智慧體系的技術要素
在可信任安全智慧體系的探索過程中,需要充分融合可解釋人工智慧XAI、隱私保護技術、圖挖掘與分析、智慧決策系統、風險評估、人機互動等多學科、多領域智慧化技術能力,為安全運營的感知、認知、決策和行動多階段的任務賦能。
三、共建AISecOps技術生態
網路安全關係到國計民生,國際形勢在快速變化,潛在攻擊組織可能透過任何一個脆弱點打破網路安全防線。因此,安全運營看似是企業、組織的自家事,實際上是關係到國家安全的關鍵環節。從近年來國家級網路威脅情報體系的建設、城市級安全運營中心的雨後春筍般的落地,可窺網路安全運營建設的國家戰略眼光。隨著安全運營體系的擴充套件,所需防護資產從個人、企業、組織的私有資產,逐漸擴大到地區級、國家級關鍵基礎設施及資料資產。
此外,技術的發展需要技術生態的構建,以提供持續的、全方位的資源支撐,AISecOps技術的發展也不例外。現階段,安全廠商林立,安全技術方案層出不窮,然而在資料、技術、平臺等多層上缺乏規範性約束,在技術交流上缺乏共識元語,在共享合作上缺乏監管機制,多個方面的統一生態的缺失,造成了技術發展的減速。因此,無論從現實需求還是從技術發展的關鍵途徑來看,AISecOps智慧安全運營技術生態體系的建立已是迫在眉睫。
AISecOps技術生態的構建
如圖3所示,本文將AISecOps技術生態的構建,概括為規範標準、資料共享、技術開源、生態共建這四個層次。透過行業級、國家級標準的建設,對齊、統一、規範安全運營的關鍵流程與技術介面,以有效在統一體系下明確分工,優中取優;透過資料共享,建立安全運營技術的標準試驗場,促進技術能力的比武與競爭發展;透過技術開源,帶動關聯技術社群的繁榮,吸引和培養更多安全運營技術人才;最後,透過交流平臺與機制共建,打通溝通壁壘、降低合作門檻,真正實現常態化、持久化、全方位的技術交流。
四、總結
網路安全技術發展已進入以安全風險全生命週期自適應管控與運營為核心的新階段,面對大規模、多源、高維運營資料的湧入與融合,構建可信任的、可運營的智慧安全運營技術體系,支撐網路安全防禦體系邁向高度智慧化、自動化,解放安全運營的生產力,已成為新基建數字安全時代的重要技術課題。
AISecOps白皮書,嘗試從技術沿革、內涵思考、框架構建、成熟度分析、前沿技術彙總和展望等多個維度,梳理和總結安全運營智慧化實踐中的關鍵問題與階段成果,期望能夠為安全智慧與運營智慧技術的發展和生態的建立,注入新的推動力。
更多內容詳情,請參考《AISecOps智慧安全運營技術白皮書》(連結)《AISecOps:智慧安全運營技術發展思考》(CCCF連結:https://dl.ccf.org.cn/institude/institudeDetail?_ack=1&id=5187981007816704)