防火墙、IDS和杀毒软件,这三款历史最悠久、应用最广泛的网络安全产品,总是被戏谑地称作是“老三样”。之所以有这样的称呼,除了因为时间久远,更重要的原因是在面对新威胁时,“老三样”已尽显老态:
以社工钓鱼为载体的新型木马,可以轻易躲过杀毒软件的检测,银狐、雪狼等黑灰产工具得以社交软件上大肆传播;
勒索即服务产业链的成熟,让勒索攻击变成了一门“赚钱”的生意,所有新入局的团伙,都可以快速具备顶级的攻击能力;
漏洞从披露到首次被利用的时间已缩短至一周以内,滞后的检测和防护规则难以企及……
微步在线创始人兼CEO薛锋在近日举行的CSOP 2024网络安全运营实战大会上表示,以防火墙、IDS和杀毒软件为代表的安全防护“老三样”已难以有效应对新的安全威胁,基础安全需要被重新“定义”。
今年大会以“智见·破境”为主题,聚焦新型网络威胁,围绕AI安全、办公网安全、终端安全、移动应用安全等不同场景,探讨如何实现政企单位的高效安全运营。
重新定义基础安全
全球网络安全形势日益严峻,对网络安全要求不断提高,促使我们重新思考网络安全的建设。薛锋表示,在网络空间里,“发现”是安全的核心能力,而非一味防护。以大数据、人工智能为基础,威胁情报和安全大模型构成了网络安全新的生产力,传统“老三样”正逐步向NDR、下一代网关和EDR演进,构成新基础安全。
随着数字化在生产、生活等各领域的进一步渗透,网络安全逐步融入产业数字化、数字产业化进程,成为关乎国计民生的重要一环。
网络安全是保护基础设施的,所以一旦基础设施发生变化,网络安全也就随之变化。在基础设施端,随着5G、云计算技术的发展,物联网、车联网等技术应用日趋成熟和广泛,网络安全态势也在同步发生变化。
基础安全的重要性不言而喻,不过新的安全威胁不断涌现,比如通过微信传播的钓鱼木马,杀毒软件是无法检测出来的。此外还有勒索软件,现在勒索攻击成为黑客变现的商业模式。
薛锋表示,如果看防火墙、IDS和杀毒软件,其采用的技术已经无法适应当先的安全形势。黑灰产、0day攻击、云攻击等让现有的安全手段捉襟见肘,我们需要新的基础安全。除了做好基本防御主动免疫之外,准、快和全的发现能力特别重要。“当基础安全不能防范新的威胁,发现能力和防御能力又比较弱,那么基础安全就应该被重新定义,进行迭代升级。”
那如何重新定义基础安全呢?采用新技术,也就是新质生产力,其代表了先进生产力的方向。“对网络安全来讲,新基础安全就是安全的一种新质生产力或者先进生产力,引领安全行业的发展。此外,各行各业也在打造自身的新质生产力,而我们用安全行业的新质生产力赋能百行千业的新质生产力。”薛锋说。
数据正在成为新的生产要素,所以数据安全至关重要,而且数据安全涉及方方面面,并不是一个单点问题。新基础安全根本上也是为了解决数据安全的问题,包括数据的保密性、完整性等。
TI与AI的融合
当前,数据驱动安全已经成为大势所趋。数据、情报和AI技术会极大提升网络安全运营的自动化、实战化能力,助力网络安全运营从“辅助驾驶”走向“自动驾驶”时代。
作为构建主动安全防御体系的关键要素,推动威胁情报融入日常安全运营成为当务之急。近两年0day及高危漏洞、勒索攻击爆发,企业安全运营重心从“威胁”向“风险”演进,而情报能力是实现高效风险发现及消除的关键。风险驱动下,企业需要全新的“安全情报”,以此来进行风险识别和分级运营。
微步在线将威胁情报(TI)和人工智能(AI)相结合,从而赋能基础安全。在薛锋看来,对于TI,安全情报的应用是新基础安全的核心能力,进而带来效果和价值上的变化。AGI的出现为TI带来发展的机会。
安全AGI就是基座大模型加上TI,其发展会非常快。微步在线的“情报智脑XGPT”是面向安全领域的大模型,给基础安全带来了新动力。
自今年1月通过生成式人工智能备案以来,XGPT已实现多次能力迭代与升级,能实时关联100多个数据源与8大分析引擎,精准知识问答与威胁分析,加快事件分析与处置,并全面开放至微步X安全情报社区,成为企业安全运营的得力助手。
薛锋说,安全行业的专家比较短缺,人才缺口很大。XGPT为安全人员提效,可能在过去你需要一个小时甚至一天的工作,现在可能只需要会一分钟或者几分钟,他的效率可能会出现十倍百倍的提升。
当然,安全大模型并不是无所不能的,大模型更擅长信息的综合推理,包括意图的识别、整体的调度等。如果你指望借助大模型发现黑客攻击,其实是比较困难的。
薛锋表示,首先解决专业的能力,然后打造协同的大脑,才能实现安全工作的提效。“对于垂直AGI来讲,我们需要进行一些超出想象力的工作,需要不断实践摸索,才能打造出真正颠覆性的应用。”
结语
当前环境下出现越来越多对于安全行业的反思,比如产能过剩、同质化比较严重,希望整个行业一起聚焦在能力的创新,提升安全运营基本能力,保护关键基础设施。
展望未来,微步在线将聚焦三件事:不断提升核心能力,包括TI和AI的智能化能力;新技术和产品安全,威胁不断变化,需要与时俱进的方案;与用户推动基础设施的升级,实现新基础安全。
好文章,需要你的鼓励
AMD CIO的职能角色早已超越典型的CIO职务,他积极支持内部产品开发,一切交付其他部门的方案都要先经过他的体验和评判。
医学生在选择专业时,应当考虑到AI将如何改变医生的岗位形态(以及获得的薪酬待遇)。再结合专业培训所对应的大量时间投入和跨专业的高门槛,这一点就更显得至关重要。
我们拥有大量数据,有很多事情要做,然后出现了一种有趣的技术——生成式AI,给他们所有人带来的影响。这种影响是巨大的,我们在这个领域正在做着惊人的工作。