安全智能分析系列(一) | 智能突圍,綠盟科技推出SecXOps技術體系
隨著網絡空間的攻擊面的延伸和拓展,網絡空間攻防雙方信息不對稱的現象愈發明顯。伴隨著攻防對抗態勢的升級,自動化技術、智能化技術與安全分析技術融合的安全智能分析技術已成為網絡安全技術發展的必然趨勢之一。綠盟科技于近日推出安全智能分析技術白皮書《智能基座,開啟安全分析新時代》,旨在對SecXOps概念內涵、技術優勢、核心能力、關鍵技術和應用實踐進行全面地總結與介紹,期望為讀者帶來全新的技術思考,助力網絡安全智能分析實現自動化、智能化進階。本文為安全智能分析白皮書精華解讀第一篇,將重點介紹安全智能分析的發展背景、關鍵技術挑戰以及SecXOps技術體系。
安全分析的發展背景與趨勢
隨著APT攻擊等高隱蔽未知威脅的出現和演進,傳統安全分析技術難以滿足APT攻擊檢測的要求,亟需融合多手段的檢測技術來應對種類日益多樣化的安全威脅攻擊。在安全威脅具有更強的殺傷力與隱蔽性的形勢下,結合大數據和人工智能技術的安全智能分析成為新一代安全能力的關鍵,是網絡空間安全的重要發展方向之一。
由于APT攻擊等網絡威脅利用大數據分析、自動化工具等先進技術來提升惡意攻擊的效率和隱蔽性,倒逼網絡安全分析突破依賴安全專家的傳統“人工”階段,進入安全智能分析階段。安全智能分析運用人工智能技術從安全大數據中進行威脅檢測分析,直接或間接地提高安全分析效率,在實際攻防實戰中充當智能化助手的角色,幫安全分析員更加快速地定位威脅攻擊,提升安全分析的自動化、智能化水平。回顧網絡安全分析發展歷程,可以將安全分析技術發展大致劃分為三個階段,包括基礎級、領先級、卓越級,如圖1所示
圖1 網絡安全分析發展階段
安全智能分析面臨的挑戰
隨著各個國家的重視和布局,大數據技術和人工智能技術發展迅速,相關自動化與智能化的識別和處理能力、數據分析能力逐漸與網絡安全技術進行了深度協同,對網絡安全的技術、方法、應用產生了重要影響,促進了網絡安全技術的變革性的進步[1]。可以預見的是安全數據采集和智能安全數據分析技術的成熟將會大幅提升網絡安全威脅檢測、網絡安全風險評估等關鍵安全防御環節的效率,大幅減少對網絡安全專家的依賴,有效地降低企業、組織乃至國家級關鍵信息基礎設施、數據資產的整體安全風險[2]。因此,安全智能分析能力的提升已經成為安全能力落地、發揮網絡安全防御有效性和對抗APT等高級威脅最直接、最關鍵的環節之一。面對日趨白熱化、持續化的網絡攻防對抗環境,安全智能分析也在多個方面面臨著諸多挑戰。
數據治理
企業數字化轉型浪潮的來臨,多源異構數據的爆發式增長,使數據治理得到了企業的普遍關注和重視。大規模數據蘊藏的巨大潛在價值吸引著攻擊者對集中存儲的數據進行竊取,因此,對海量數據的管理是企業亟待解決的一項艱巨任務。
模型開發
在很多場景下,不同領域的模型針對某一特定場景的任務在準確率、查準率、查全率和時間復雜度等很多指標上都有明顯的鴻溝,無法將其他領域的模型直接應用到一個新的領域。
模型交付
由于實驗室中的算法模型的分類結果依賴收集到和標定好的數據集合,在實際應用場景下,數據分布的變化、數據復雜度的提升等因素可能會導致大部分實驗室中表現良好的模型面臨失效的困境。
模型運營
針對不同的場景、不同的數據、不同的算法需要采用不同的數據處理方式,模型更新完成后又需要與產品開發人員對接,導致運營、研究、開發多個部門之間耦合程度過高,造成人力和時間的浪費。
AI工程化
基于AI的網絡安全分析模型在真實場景的工程化需要考慮諸多因素,包括真實場景中算法效果的局限性,上下游數據是否具備可用性,算力是否能夠支撐安全分析算法的運行實現,以及性能的消耗等。
SecXOps技術體系
運維(Ops)發展至今在企業中的重要性越來越高,隨著各行各業數字化規模越來越大,組件監控粒度越來越細,不斷有新技術和組件被引入運維體系。運維體系不斷向著多元化方向發展,XOps即其他技術與Ops的融合,隨著不同的Ops發展,XOps已成為定義DevOps、DataOps、MLOps、ModelOps、Platform Ops for AI等組合的總稱。Gartner指出XOps的目標是使用DevOps的最佳實踐實現效率和規模經濟,在確保可靠性、可用性和可重復性的前提下,減少技術和流程的重復,實現進階自動化[3]。總的來說,XOps技術促進企業組織通過數據和分析的運營技術賦能業務,推動提升業務價值。
SecXOps即XOps for security,以XOps與安全場景的融合為基礎,由安全數據資產高質可信、安全模型全生命周期管理、安全模型高精度定制、安全模型自動化運營、AI工程化持續保障五大核心技術能力組成,在保證安全性的同時,減少技術和流程的重復,實現網絡安全分析自動化、智能化進階,是未來應對網絡空間高級、持續、復雜威脅與風險不可或缺的關鍵技術之一。
圖2 SecXOps核心技術能力拆解
SecXOps將XOps實踐擴展到網絡安全領域,從安全數據治理、ML模型管理、AI模型管理和底層基礎設施建設等各個階段建立強大的DevOps實踐,以支撐安全數據治理與安全模型訓練、管理和監控,發揮Ops技術在安全領域的巨大潛在價值,為網絡安全的數據分析人員、ML工程團隊、應用開發團隊和安全運營團隊的協作搭建安全、兼容和經濟高效的平臺,從而實現基于AI的安全系統的持續交付。其技術優勢如下圖3所示:
圖3 SecXOps技術優勢
總結
本技術白皮書描述了安全智能分析背景和趨勢,以及面臨的挑戰,提出了SecXOps概念內涵、技術優勢以及核心能力,從安全分析的實踐出發,重點總結了SecXOps關鍵技術在五個安全分析場景中的應用實踐。
后續精華解讀,將介紹SecXOps技術在網絡安全的實際場景中的應用,敬請期待。
