与时俱进 微步在线重新定义基础安全 原创

防火墙、IDS和杀毒软件，这三款历史最悠久、应用最广泛的网络安全产品，总是被戏谑地称作是“老三样”。之所以有这样的称呼，除了因为时间久远，更重要的原因是在面对新威胁时，“老三样”已尽显老态：

以社工钓鱼为载体的新型木马，可以轻易躲过杀毒软件的检测，银狐、雪狼等黑灰产工具得以社交软件上大肆传播；

勒索即服务产业链的成熟，让勒索攻击变成了一门“赚钱”的生意，所有新入局的团伙，都可以快速具备顶级的攻击能力；

漏洞从披露到首次被利用的时间已缩短至一周以内，滞后的检测和防护规则难以企及……

微步在线创始人兼CEO薛锋在近日举行的CSOP 2024网络安全运营实战大会上表示，以防火墙、IDS和杀毒软件为代表的安全防护“老三样”已难以有效应对新的安全威胁，基础安全需要被重新“定义”。

今年大会以“智见·破境”为主题，聚焦新型网络威胁，围绕AI安全、办公网安全、终端安全、移动应用安全等不同场景，探讨如何实现政企单位的高效安全运营。

重新定义基础安全

全球网络安全形势日益严峻，对网络安全要求不断提高，促使我们重新思考网络安全的建设。薛锋表示，在网络空间里，“发现”是安全的核心能力，而非一味防护。以大数据、人工智能为基础，威胁情报和安全大模型构成了网络安全新的生产力，传统“老三样”正逐步向NDR、下一代网关和EDR演进，构成新基础安全。

随着数字化在生产、生活等各领域的进一步渗透，网络安全逐步融入产业数字化、数字产业化进程，成为关乎国计民生的重要一环。

网络安全是保护基础设施的，所以一旦基础设施发生变化，网络安全也就随之变化。在基础设施端，随着5G、云计算技术的发展，物联网、车联网等技术应用日趋成熟和广泛，网络安全态势也在同步发生变化。

基础安全的重要性不言而喻，不过新的安全威胁不断涌现，比如通过微信传播的钓鱼木马，杀毒软件是无法检测出来的。此外还有勒索软件，现在勒索攻击成为黑客变现的商业模式。

薛锋表示，如果看防火墙、IDS和杀毒软件，其采用的技术已经无法适应当先的安全形势。黑灰产、0day攻击、云攻击等让现有的安全手段捉襟见肘，我们需要新的基础安全。除了做好基本防御主动免疫之外，准、快和全的发现能力特别重要。“当基础安全不能防范新的威胁，发现能力和防御能力又比较弱，那么基础安全就应该被重新定义，进行迭代升级。”

那如何重新定义基础安全呢？采用新技术，也就是新质生产力，其代表了先进生产力的方向。“对网络安全来讲，新基础安全就是安全的一种新质生产力或者先进生产力，引领安全行业的发展。此外，各行各业也在打造自身的新质生产力，而我们用安全行业的新质生产力赋能百行千业的新质生产力。”薛锋说。

数据正在成为新的生产要素，所以数据安全至关重要，而且数据安全涉及方方面面，并不是一个单点问题。新基础安全根本上也是为了解决数据安全的问题，包括数据的保密性、完整性等。

TI与AI的融合

当前，数据驱动安全已经成为大势所趋。数据、情报和AI技术会极大提升网络安全运营的自动化、实战化能力，助力网络安全运营从“辅助驾驶”走向“自动驾驶”时代。

作为构建主动安全防御体系的关键要素，推动威胁情报融入日常安全运营成为当务之急。近两年0day及高危漏洞、勒索攻击爆发，企业安全运营重心从“威胁”向“风险”演进，而情报能力是实现高效风险发现及消除的关键。风险驱动下，企业需要全新的“安全情报”，以此来进行风险识别和分级运营。

微步在线将威胁情报（TI）和人工智能（AI）相结合，从而赋能基础安全。在薛锋看来，对于TI，安全情报的应用是新基础安全的核心能力，进而带来效果和价值上的变化。AGI的出现为TI带来发展的机会。

安全AGI就是基座大模型加上TI，其发展会非常快。微步在线的“情报智脑XGPT”是面向安全领域的大模型，给基础安全带来了新动力。

自今年1月通过生成式人工智能备案以来，XGPT已实现多次能力迭代与升级，能实时关联100多个数据源与8大分析引擎，精准知识问答与威胁分析，加快事件分析与处置，并全面开放至微步X安全情报社区，成为企业安全运营的得力助手。

薛锋说，安全行业的专家比较短缺，人才缺口很大。XGPT为安全人员提效，可能在过去你需要一个小时甚至一天的工作，现在可能只需要会一分钟或者几分钟，他的效率可能会出现十倍百倍的提升。

当然，安全大模型并不是无所不能的，大模型更擅长信息的综合推理，包括意图的识别、整体的调度等。如果你指望借助大模型发现黑客攻击，其实是比较困难的。

薛锋表示，首先解决专业的能力，然后打造协同的大脑，才能实现安全工作的提效。“对于垂直AGI来讲，我们需要进行一些超出想象力的工作，需要不断实践摸索，才能打造出真正颠覆性的应用。”

结语

当前环境下出现越来越多对于安全行业的反思，比如产能过剩、同质化比较严重，希望整个行业一起聚焦在能力的创新，提升安全运营基本能力，保护关键基础设施。

展望未来，微步在线将聚焦三件事：不断提升核心能力，包括TI和AI的智能化能力；新技术和产品安全，威胁不断变化，需要与时俱进的方案；与用户推动基础设施的升级，实现新基础安全。