“之前做网安运维人员,可能每天都能遇到数万个风险‘告警’,如果以人力判断,每个耗时1分钟,要处理1个多月。”9月22日,深信服对外展示安全大模型落地成果,来自各行业的权威专家和代表共同探讨了安全大模型的落地应用效果及趋势分析,相关专家表示,其中的很多“告警”危险级别较低,逐一处理耗时耗力。
那么,如何更有效维护网络安全环境?人工智能大模型被认为可以改变当前网络安全行业运维模式。当前国内外多家网络安全企业推出网络安全大模型。例如,微软的个人安全助手、深信服的安全GPT等。
随着人工智能的普及,一些看起来“无关紧要”的告警却可能暗藏“杀机”。安全攻防专家在大会现场演示了一条“伪装”的操作,看起来只是访问某网站,但实则是引入木马病毒的操作。
快速处理海量告警,“一眼”识别伪装下的威胁,是安全大模型被期望能够达到的目标之一。深信服科技研发总经理梁景波将其比作“智能驾驶”。“深信服安全GPT 2.0可实现在30秒内对威胁进行研判,并给出对应的遏制策略。”梁景波说,在大模型的助力下,网安部门处理单一威胁事件的平均闭环时间将缩减96.6%。
通过人类的语言(自然语言)和机器对话,是人工智能大模型的过人之处。面对网安人员,安全大模型也可以通过自然语言为网安人员分析漏洞种类、潜在威胁等一系列信息。深信服安全攻防专家在现场演示了与安全大模型的对话,网安人员可以直接将无法判断的威胁复制给大模型,向它提问,大模型会在对话框中给出条理清晰、翔实有据的分析过程,而不是简单给出结果。
梁景波表示,结合网端数据进行解读分析,对终端命令行、威胁情报、恶意文件进行解读等系列工作需要具备5年的专业分析经验,如果有安全大模型的辅助,解读门槛将大大降低,网安分析人员也将更快积累丰富的经验。
人工智能大模型可以同时监测更多的节点,发现潜伏系统内部的威胁在实施攻击时的蛛丝马迹。业内人士表示,大模型辅助下的安全系统还能够还原攻击过程,比如谁动了数据、动了哪些数据、拿走了什么等,对攻击场景的“复盘”能力将为攻防实战带来不可或缺的经验。
“智能化手段可大幅提升威胁对抗的效果和效率。”梁景波也表示,通过对大模型进行优化,安全大模型可以实现对漏洞、隐蔽入侵等威胁的“巡查式”检测研判。当前,安全GPT不仅可以完成对高级威胁检测、安全事件解读、热门漏洞的排查,还能够承载超过80%的告警分析、事件调查、资产排查等工作。
当出现安全告警时,安全GPT通过解析数据包、查询情报,可自主研判,对事件进行定性,并自动化执行封堵隔离、影响面调查的措施,生成事件报告。整个过程,安全运维人员只需审核关键环节,查看事件报告,无需更多操作。
当下,安全大模型是改变安全攻防格局的革命性技术已成为业内共识。业界普遍认为,AI的能力应该在安全运维者手中更快、更深地得到应用,安全大模型的应用广度和硬度应该跑赢其在黑客等攻击者手中的演进速度。