網(wǎng)絡(luò)安全行業(yè)以前也會(huì)用到人工智能技術(shù),但當(dāng)時(shí)是小模型�,很多問(wèn)題沒(méi)有辦法解決����,通用性不強(qiáng)�����。而現(xiàn)在大模型時(shí)代�����,新的技術(shù)正在讓網(wǎng)安行業(yè)迎來(lái)“iPhone時(shí)刻”�����。
文|游勇
編|周路平
近幾個(gè)月�����,大模型技術(shù)在各行業(yè)的落地應(yīng)用日新月異�。擁抱大模型�,似乎成為歷史的必然。
在數(shù)字化轉(zhuǎn)型的大背景下��,這股沖擊波也席卷到網(wǎng)絡(luò)安全行業(yè)��。
一方面,是大模型帶來(lái)的負(fù)面效應(yīng)�����,包括大模型自身可能造成的數(shù)據(jù)泄漏和虛假信息��,以及其強(qiáng)大的生成能力�����,讓黑客攻擊變得更加普遍和容易;另一方面��,相比于大模型自身潛藏的安全風(fēng)險(xiǎn)��,大模型強(qiáng)大的推理能力和泛化性����,正在對(duì)網(wǎng)絡(luò)安全行業(yè)帶來(lái)革命性影響。
今年3月�,微軟基于GPT4.0發(fā)布了Security Copilot,幫助安全人員提高響應(yīng)速度����,提高威脅檢測(cè)和搜尋能力。緊接著是谷歌宣布推出Security AI Workbench����。這套新的安全模型針對(duì)安全用例進(jìn)行了微調(diào)����,并結(jié)合了谷歌強(qiáng)大的安全情報(bào)�,能有效解決網(wǎng)絡(luò)安全的三大挑戰(zhàn):威脅過(guò)載、工具繁瑣和人才短缺����。
國(guó)內(nèi)安全企業(yè)也在加緊步伐。5月18日�����,深信服首秀安全GPT技術(shù)應(yīng)用����。專屬網(wǎng)安行業(yè)的“iPhone時(shí)刻”,真的來(lái)了嗎?
01
一把跨時(shí)代的“新榔頭”
“然而����,按照歷史的經(jīng)驗(yàn),攻擊者對(duì)新技術(shù)的采用往往比防守的還要快����。”賽博英杰創(chuàng)始人譚曉生對(duì)數(shù)智前線說(shuō),對(duì)于網(wǎng)絡(luò)安全行業(yè)而言�����,大模型帶來(lái)的降本增效�����,首先受益方是攻擊者�����。
情況也確實(shí)如此�,釣魚(yú)郵件的攻擊數(shù)量在全球范圍內(nèi)明顯上升。網(wǎng)絡(luò)安全公司Darktrace研究發(fā)現(xiàn)��,2023年前兩個(gè)月��,攻擊者使用ChatGPT等生成式AI����,通過(guò)增加文本描述、句子長(zhǎng)度以及標(biāo)點(diǎn)符號(hào)��,讓釣魚(yú)郵件等社會(huì)工程攻擊量增加了135%���。
數(shù)據(jù)顯示���,全球每秒會(huì)發(fā)生1287次密碼攻擊�����,在過(guò)去5年內(nèi)��,安全攻擊數(shù)量增長(zhǎng)了67%���。疫情以來(lái),網(wǎng)絡(luò)攻擊速度也在快速提升��。過(guò)去���,當(dāng)用戶點(diǎn)擊釣魚(yú)鏈接后��,攻擊者平均需要幾周甚至幾個(gè)月才能黑進(jìn)用戶郵箱�,而如今�,所需時(shí)間已縮短至1小時(shí)12分鐘。
歐盟執(zhí)法機(jī)構(gòu)歐洲刑警組織曾警告�,ChatGPT可能被濫用于網(wǎng)絡(luò)釣魚(yú)、宣傳虛假信息以及網(wǎng)絡(luò)犯罪。在一些暗網(wǎng)和黑客社區(qū)����,很多黑客聲稱已經(jīng)用大模型成功構(gòu)造了一些新的加密算法���。但利用大模型進(jìn)行規(guī)��;舻那闆r還沒(méi)有出現(xiàn)�����。
深信服研發(fā)總經(jīng)理梁景波向我們講解了這樣的場(chǎng)景:攻擊者只需要跟大模型做幾次簡(jiǎn)單的對(duì)話�����,就可以生成復(fù)雜的攻擊手法����,可以在短時(shí)間內(nèi)讓高級(jí)攻擊手法比過(guò)去激增上萬(wàn)倍���。
“未來(lái)攻擊者在大模型的加持下�����,復(fù)雜攻擊會(huì)變成一個(gè)新常態(tài)��。傳統(tǒng)引擎在這種情況下基本都會(huì)失效���,使用大模型對(duì)抗大模型才是新時(shí)代的出路�。”梁景波說(shuō)�����。
“安全領(lǐng)域的攻防是釘子和榔頭的關(guān)系�����。”顯然�����,大模型催生了攻擊手段升級(jí)���,將猶如一顆“新釘子”刺痛網(wǎng)安行業(yè)�����,不得不防��。而大模型這一把跨時(shí)代的“新榔頭”�,正在瞄準(zhǔn)這顆“新釘子”。
值得注意的是�,“當(dāng)找到一個(gè)新榔頭的時(shí)候,也能把老釘子全都砸一遍��。”譚曉生說(shuō)�。對(duì)于以往常見(jiàn)的攻擊手段����,傳統(tǒng)檢測(cè)引擎在大模型的加持下,則將實(shí)現(xiàn)更加高效率的檢出�����,相信能夠帶動(dòng)整個(gè)行業(yè)生產(chǎn)力的提升����。
這些已然成為安全行業(yè)的一個(gè)共識(shí)。
02
模型并非越大越好
只不過(guò)��,行業(yè)存在共識(shí)���,也出現(xiàn)了新的分歧�。
當(dāng)前大模型的訓(xùn)練大體有兩條路徑:一個(gè)是大廠都在訓(xùn)練的通用大模型,參數(shù)大�、成本高,通用性強(qiáng);另一個(gè)是在各垂直領(lǐng)域的企業(yè)�����,開(kāi)始利用GPT技術(shù)���,通過(guò)投喂行業(yè)數(shù)據(jù)�����,訓(xùn)練行業(yè)的專用模型�。
但在落地到具體行業(yè)時(shí)����,大多數(shù)人往往會(huì)面臨一個(gè)誤區(qū):模型應(yīng)該越大越好。
事實(shí)并非如此�。深信服安全業(yè)務(wù)市場(chǎng)運(yùn)營(yíng)總監(jiān)羅政權(quán)指出,一是通用大模型需要消耗大量算力�����,背后是巨大的成本壓力��,但這種通用的能力并不完全被行業(yè)需要,無(wú)論是醫(yī)藥����、工業(yè),還是在安全領(lǐng)域����,都不是讓大模型去寫(xiě)詩(shī)作畫(huà)。二是參數(shù)量太大����,在行業(yè)部署時(shí)也是一個(gè)非常大的挑戰(zhàn)�。
梁景波也提到,安全行業(yè)訓(xùn)練超大參數(shù)的模型反而會(huì)浪費(fèi)計(jì)算資源��,并且未必能發(fā)揮出超大參數(shù)的優(yōu)勢(shì)���。因此無(wú)論是算力消耗��,還是后續(xù)演進(jìn)的上限���,將垂直領(lǐng)域的安全GPT做得更專業(yè),才會(huì)有更好的效果����。
根據(jù)其官方說(shuō)法���,深信服安全GPT作為自研的垂直領(lǐng)域?qū)<夷P停?ldquo;大模型算法+威脅情報(bào)+安全知識(shí)”訓(xùn)練而成�。
顯然,“新榔頭”不需要越大越好��,“瞄得準(zhǔn)”才是王道���。
首先�,人工智能算法的積累和實(shí)踐非常關(guān)鍵�����。雖然GPT涉及的人工智能技術(shù)都不是新的發(fā)明���,但這并不意味著�����,直接拿一個(gè)開(kāi)源的大模型��,然后加入行業(yè)知識(shí)就能訓(xùn)練出一個(gè)效果很好的行業(yè)大模型�。
GPT本身被認(rèn)為是工程上的成功,背后還有大量產(chǎn)品化和工程化的難題�。微軟和谷歌在這一點(diǎn)上無(wú)疑有著非常深的積累。無(wú)疑��,快速推出安全大模型的關(guān)鍵���,是背后的技術(shù)積累�����。
深信服從2016年就開(kāi)始不斷加碼AI技術(shù)應(yīng)用�,并確立了AI First的研發(fā)戰(zhàn)略��。從小模型時(shí)代開(kāi)始���,深信服就貫通了云、網(wǎng)��、端���,打通了數(shù)據(jù)采集����、算法訓(xùn)練、產(chǎn)品化落地�����、迭代運(yùn)營(yíng)的自動(dòng)化全流程����,截至目前,已經(jīng)在文件分析�、行為檢測(cè)、日志分析等十幾個(gè)不同的安全技術(shù)領(lǐng)域應(yīng)用了人工智能����。
正如深信服董事長(zhǎng)何朝曦所言,作為一家既做安全又做云計(jì)算的公司�,深信服在安全領(lǐng)域應(yīng)用GPT技術(shù)具備天然優(yōu)勢(shì):一是擁有較多的算法、安全��、調(diào)優(yōu)算力人才�,尤其是既懂AI又懂安全的人才;二是對(duì)威脅情報(bào)和攻防技術(shù)擁有深刻的理解。
目前����,深信服內(nèi)部有提出規(guī)則、判斷模型效果的安全專家,有處理數(shù)據(jù)跟訓(xùn)練模型的算法專家���,還有要去提升算力的算力專家����,從最底層的算力���,到行業(yè)數(shù)據(jù)到人工智能算法����,都有相應(yīng)的積累和儲(chǔ)備���。
其次����,高質(zhì)量的企業(yè)級(jí)數(shù)據(jù)也是訓(xùn)練行業(yè)大模型的關(guān)鍵���。比如谷歌的安全大模型產(chǎn)品在發(fā)布時(shí)�����,高質(zhì)量數(shù)據(jù)也被認(rèn)為是其優(yōu)勢(shì)。
作為國(guó)內(nèi)頭部安全廠商��,深信服在線的網(wǎng)關(guān)設(shè)備數(shù)量最多,過(guò)去積累了豐富的線上情報(bào)數(shù)據(jù)集���,這些數(shù)據(jù)不僅能構(gòu)建自動(dòng)化的數(shù)據(jù)清洗和質(zhì)量管理流程����,不斷生成大量為AI訓(xùn)練專門(mén)準(zhǔn)備的高質(zhì)量數(shù)據(jù)��。
與單純的安全產(chǎn)品公司不同��,深信服通過(guò)安全托管服務(wù)�,幫助用戶應(yīng)對(duì)實(shí)際的安全威脅,同時(shí)積累下來(lái)的工具和能力�����,也沉淀成為寶貴的安全資產(chǎn)庫(kù)��。在深信服托管云和超融合的算力支撐下��,經(jīng)過(guò)海量安全數(shù)據(jù)的投喂���,以及深信服安全專家調(diào)試�,深信服安全GPT目前在多個(gè)安全專業(yè)領(lǐng)域達(dá)到了專家水平。
所以�����,從這個(gè)角度來(lái)看�����,深信服能率先秀出安全GPT技術(shù)應(yīng)用也是順理成章�。目前,深信服安全GPT技術(shù)應(yīng)用XDR平臺(tái)�����,已經(jīng)開(kāi)啟內(nèi)測(cè)��,未來(lái)深信服所有的安全產(chǎn)品和服務(wù)都會(huì)接入深信服安全GPT�����。
03
“新榔頭”到底“新”在哪兒?
安全GPT首秀給業(yè)界帶來(lái)驚艷的同時(shí)�����,外界對(duì)人工智能在安全行業(yè)的應(yīng)用也出現(xiàn)了不同的聲音����,諸如“不懂安全的用了也白用”“以往AI檢測(cè)技術(shù)誤報(bào)率高”等質(zhì)疑。
這樣的聲音并不讓人感到意外����。人工智能本身不是個(gè)新鮮詞匯,幾經(jīng)起伏�,一直沒(méi)有到達(dá)技術(shù)的臨界點(diǎn),人工智能也被調(diào)侃為人工智障�,如iPhone手機(jī)里自帶的語(yǔ)音助手Siri,就長(zhǎng)期被詬病�����。
網(wǎng)絡(luò)安全行業(yè)對(duì)人工智能技術(shù)的應(yīng)用也不陌生���。從最開(kāi)始的大數(shù)據(jù)分析�,到后面的深度學(xué)習(xí)�,每家廠商或多或少往AI靠,但整體效果并不如人意���。
早在十幾年前���,基于人工智能的殺毒引擎就開(kāi)始用于惡意代碼檢測(cè)����,當(dāng)時(shí)還是基于支持向量機(jī)�����、隨機(jī)森林等人工智能算法��。后來(lái)���,基于人工智能技術(shù)對(duì)網(wǎng)絡(luò)流量的惡意攻擊進(jìn)行檢測(cè)��,但效果并不太好���。檢出率雖然很高,但誤報(bào)率也很高�,運(yùn)維人員根本處理不過(guò)來(lái)。在安全領(lǐng)域����,誤報(bào)率是一個(gè)非常敏感的指標(biāo),不僅把壞人攔住了�,也把很多好人攔住了,會(huì)影響用戶的正常業(yè)務(wù)��。
這是小模型時(shí)代的通病:誤報(bào)率太高�,對(duì)安全運(yùn)營(yíng)人員投入精力與專業(yè)度要求也高。
羅政權(quán)也強(qiáng)調(diào)���,小模型只能用于單一的檢測(cè)場(chǎng)景,比如威脅發(fā)現(xiàn)����、漏洞利用、Web攻擊的檢測(cè)����,價(jià)值沒(méi)有最大化,用戶的感知也不夠明顯�。
再者,小模型沒(méi)有通用性�,還需要大量的算法專家和安全專家不斷的構(gòu)建模型、訓(xùn)練���、調(diào)優(yōu)�����,投入成本高��,復(fù)用率也不高�。
而GPT大模型,這把“新榔頭”的優(yōu)勢(shì)�,在安全領(lǐng)域得以“煥新”。
微軟Security Copilot在發(fā)布時(shí)�,著重提到了三重價(jià)值:一是大幅加快事件響應(yīng)速度,自動(dòng)撰寫(xiě)事件報(bào)告��。二是提高威脅檢測(cè)和搜尋能力����。三是緩解人才短缺問(wèn)題。
谷歌則在推出安全大模型產(chǎn)品時(shí)���,曾暢想了這樣一個(gè)世界:新手和安全專家與人工智能專業(yè)知識(shí)相結(jié)合����,他們能夠從重復(fù)工作中解放出來(lái)�����,完成今天看來(lái)似乎不可能完成的任務(wù)����。
“想象一下未來(lái)的網(wǎng)絡(luò)安全防御�����,在你搭建基礎(chǔ)設(shè)施的時(shí)候����,就會(huì)自動(dòng)生成安全策略�����、安全控制和安全配置——這是我們正在研究的一個(gè)應(yīng)用場(chǎng)景����,將在安全運(yùn)營(yíng)和安全管理領(lǐng)域引發(fā)一場(chǎng)變革�。”谷歌云工程副總裁Eric Doerr說(shuō)。
這些能力在深信服安全GPT技術(shù)應(yīng)用的演示中已經(jīng)得到呈現(xiàn)����。深信服通過(guò)與多家國(guó)內(nèi)外廠商的對(duì)比測(cè)試,結(jié)果非常明顯���,表現(xiàn)最好的傳統(tǒng)安全引擎����,高級(jí)威脅識(shí)別率只有45%。而賦能安全GPT的XDR平臺(tái)�����,高級(jí)威脅識(shí)別率達(dá)到了95%�,誤報(bào)率也從21.4%降到了4.3%,“已經(jīng)達(dá)到5年經(jīng)驗(yàn)的安全專家水平”��。
更關(guān)鍵的是�,大模型既有泛化的檢測(cè)能力,也要有高質(zhì)量的攻擊解釋能力�,能讓一個(gè)沒(méi)有太多安全經(jīng)驗(yàn)的人,看明白發(fā)生了什么����,并且找出漏洞,最后提供方法�。這是大模型帶來(lái)的技術(shù)上的一個(gè)飛躍。
“未來(lái)�����,‘安全+大模型’會(huì)成為安全建設(shè)的新范式����,很多安全場(chǎng)景都會(huì)被重新定義����。”梁景波說(shuō)��。一個(gè)初級(jí)安全工程師����,在安全GPT技術(shù)的加持下,很快可以變成一個(gè)高級(jí)專家�。而過(guò)去需要多個(gè)安全專家做的事情,現(xiàn)在只需要一個(gè)安全專家就可以完成����。
除此之外����,深信服安全GPT技術(shù)應(yīng)用也有自身特色。比如在使用體驗(yàn)層面做得更領(lǐng)先���,是開(kāi)展安全工作的智能駕駛艙��。僅需在XDR平臺(tái)首頁(yè)窗口進(jìn)行簡(jiǎn)單對(duì)話�����,即可用文字����、圖表等多模交互的方式,輸出關(guān)鍵指標(biāo)�����,幫助用戶全局掌控安全趨勢(shì)�,滿足日常/特殊時(shí)期的價(jià)值感知需求。
其次�����,AI技術(shù)架構(gòu)在用戶側(cè)的落地��,依賴于“開(kāi)放平臺(tái)+領(lǐng)先組件+云端服務(wù)”的體系��。通過(guò)開(kāi)放的平臺(tái)�,享受云端在線、海量數(shù)據(jù)的能力;通過(guò)領(lǐng)先的組件���,抓取攻擊現(xiàn)場(chǎng)的豐富數(shù)據(jù)��,并基于云端和本地的模型進(jìn)行防護(hù);再通過(guò)云端的服務(wù)�����,提供7*24h在線的服務(wù)兜底��。深信服安全GPT技術(shù)應(yīng)用在XDR平臺(tái)���,平臺(tái)具備云化交付能力��,內(nèi)置與大量組件的聯(lián)動(dòng)能力��,無(wú)需配置�����,開(kāi)箱即用�����。
“AI大模型應(yīng)用于安全領(lǐng)域現(xiàn)在仍然在非常早期的階段。”何朝曦說(shuō)�����,深信服在安全大模型方面的工作只是剛開(kāi)了個(gè)頭,后面還有很多工作����,包括將其應(yīng)用于終端檢測(cè)、對(duì)數(shù)據(jù)的分析和保護(hù)����,以及進(jìn)一步加強(qiáng)在安全運(yùn)營(yíng)方面的自動(dòng)化能力。
鄂公網(wǎng)安備 42112402000149號(hào)