AISecOps白皮書精華解讀之背景內涵篇

綠盟科技發表於2020-12-26

大規模、多維度的資料探勘在賦能安全防禦能力的同時,給安全運營團隊帶來了前所未有的挑戰。因此,在安全大資料湧現與高階威脅對抗的大背景下,研究安全運營的智慧化技術,對提升安全運營能力的自動化水平,減少對人力投入與專家經驗的依賴,降低威脅分析與響應的週期,有著至關重要的作用。


本文為《AISecOps智慧安全運營技術白皮書》精華解讀,將重點介紹智慧安全運營的發展背景、關鍵技術挑戰與AISecOps技術內涵。


一、     安全運營發展背景與趨勢

AISecOps白皮書精華解讀之背景內涵篇

圖一 安全運營技術發展趨勢


對風險的認知的演進,決定了安全運營認知的方向。整體來看,安全運營技術和產業經歷了單點攻防、邊界防禦、安全運營中心的發展歷程,並最終向運營智慧化的方向持續演進。


安全運營智慧化趨勢已成為必然。安全運營團隊是支撐安全運營中心化運作的核心。安全運營的萌芽、發展與成熟,對映出的是背後人與人對抗的認知與技術升級。然而,隨著網路空間對抗關聯的流程鏈路的增長、資料規模爆炸、技術複雜度提升,人力資源與風險識管控的目標要求之間,逐漸形成巨大的需求剪刀差。這種數字化時代的關鍵特徵,倒逼網路安全運營突破依賴安全專家的傳統“人工”階段。提升安全運營技術與流程的自動化、智慧化水平,已成為網路安全風險治理與防控的必備條件。智慧賦能運營,是數字化時代運營即服務的基礎保障。


二、     智慧安全運營的挑戰

本質上,安全運營中大規模資料分析的困難來自於攻守的不平衡性。在真實的網路空間中,敵暗而我明,智慧安全運營需要大規模地採集多維度的資料進行分析,但處理海量資料給安全運營團隊帶來了前所未有的挑戰,如依賴爆炸、告警疲勞、大海撈針(威脅)等難題,都可能是整個運營團隊的夢魘。除此之外,技術瓶頸,專業人才匱乏,流程低可操作性等問題,都將降低安全運營的有效性。如圖2所示,是基於終端溯源資料的威脅分析系統框架,包含諸多資料處理、分析模組。安全運營中大資料帶來的關鍵技術挑戰,簡要概括如下幾點。


AISecOps白皮書精華解讀之背景內涵篇

圖二智慧安全運營技術的多個關鍵挑戰


資料接入:資料膨脹與系統瓶頸。安全運營資料呈現爆炸式增長,給網路、儲存、處理等系統造成前所未有的效能壓力。

l  資料融合:多源異構與本體建模。多源、多維資料仍然缺乏統一的圖模型設計,亟需透過本體化、標準化形成可聯動的資料檢視。

l  線索發現:召回模型與高誤報率。如異常檢測等模型,以關鍵特徵或模式召回網路威脅事件,缺乏上下文支撐,導致誤報率居高不下。

l  事件推理:語義模糊與依賴爆炸。資料驅動的分析方法往往缺乏對安全語義的建模,也缺乏對資料依賴中的因果關係分析。

l  人機協同:黑盒模型與低質互動。不透明的複雜模型與低互動,甚至無互動的運營平臺,加劇了安全運營中人機協同的有效性。

l  智慧引擎:攻擊失效與資料風險。越來越多的攻擊開始針對智慧模型,需要提升模型的安全能魯棒性,並保證模型資料不被竊取。


三、     AISecOps核心內涵

從基本的詞語組合來看,AISecOps由AISec,SecOps,AIOps三大核心技術組成。

人工智慧安全(AISec)的技術融合給行業帶來了新的期盼。無論是AI自身安全還是基於AI的安全應用,都已成為學術界和工業界的熱點話題。AI技術在諸多單點安全技術和指定場景中,如惡意軟體分類、惡意流量識別、入侵檢測等,已取得不錯的應用效果。


IT智慧運維(AIOps)亦是整個網際網路、智慧計算領域的研究熱點。該技術方向重點關注複雜IT系統環境的異常檢測、根因定位、告警分診等關鍵技術。不過,IT運維不同於安全運營,缺乏對網路威脅、脆弱性、資產等核心風險要素與安全對抗的系統化建模,相關技術經驗難以直接複用到安全運營場景中。


最後,安全運營(SecOps)作為應用場景與目標,主要由流程、人和技術三個核心要素構成。傳統安全運營的技術能力主要由安全專家提供,例如告警分類分級、威脅狩獵、樣本分析、威脅溯源等等。

AISecOps白皮書精華解讀之背景內涵篇

圖三 AISecOps核心技術能力拆解


白皮書歸納了智慧安全運營的核心內涵,以明確技術實現與發展的範疇:

“AISecOps技術是以安全運營目標為導向,以人、流程、技術與資料的融合為基礎,面向預防、檢測、響應、預測、恢復等網路安全風險管控、攻防對抗的關鍵環節,構建資料驅動的、具有高自動化水平的可信任安全智慧技術棧,實現安全智慧範疇下的感知、認知、決策、行動能力,輔助甚至代替人在動態環境下完成各類安全運營服務。


相比於AISecAISecOps更強調面向安全運營的核心指標與評估方法;相比於AIOpsAISecOps更強調攻防對抗的動態性;相比於SecOpsAISecOps更強調資料驅動與智慧驅動的方法賦能。AISecOps智慧安全運營是在核心運營指標的導向下,系統、深入的融合智慧化技術方案,以適應安全運營不同階段、不同任務場景的應用需求,提升運營全流程的自動化水平。


AISecOps技術核心內涵的提出,釐清了智慧安全運營技術與傳統安全智慧、運維智慧技術之間的關係。後續精華解讀,將陸續帶來AISecOps技術體系、關鍵技術與發展趨勢等,敬請期待。


更多內容詳情,請參考:

《AISecOps智慧安全運營技術白皮書》

《AISecOps:智慧安全運營技術發展思考》(《中國計算機學會通訊》:

https://dl.ccf.org.cn/institude/institudeDetail?_ack=1&id=5187981007816704

相關文章