【新要聞】人才缺口超三百萬，大模型驅(qū)動(dòng)網(wǎng)絡(luò)安全運(yùn)營走向“自動(dòng)駕駛”

若說當(dāng)前網(wǎng)絡(luò)安全行業(yè)關(guān)注度最高的技術(shù)應(yīng)用方向，非 AI 大模型莫屬，網(wǎng)絡(luò)安全行業(yè)也在呼喚 GPT 盡快應(yīng)用至業(yè)務(wù)。

隨著攻防演練走向?qū)崙?zhàn)化，一些新變化在一次次實(shí)戰(zhàn)演練中日益凸顯。技術(shù)奔走，當(dāng)前國內(nèi)網(wǎng)絡(luò)安全在攻擊側(cè)和需求側(cè)都與以往不同，網(wǎng)絡(luò)安全模式和產(chǎn)業(yè)出現(xiàn)相應(yīng)新特征，效果導(dǎo)向成為了網(wǎng)絡(luò)安全建設(shè)的落點(diǎn)。目前，網(wǎng)絡(luò)安全行業(yè)已經(jīng)基本告別了安全基礎(chǔ)防護(hù)和合規(guī)建設(shè)，轉(zhuǎn)而將焦點(diǎn)放在了安全運(yùn)營與實(shí)戰(zhàn)演練。

(資料圖片)

企業(yè)所面對(duì)的風(fēng)險(xiǎn)、資產(chǎn)與威脅，是近年來網(wǎng)絡(luò)安全運(yùn)營中變化最明顯的部分。技術(shù)帶來的問題還要靠技術(shù)解決，安全從業(yè)者還是要擁抱新技術(shù)、應(yīng)對(duì)新變化，探索大數(shù)據(jù)、威脅情報(bào)、AI 大模型等新技術(shù)在網(wǎng)絡(luò)安全運(yùn)營中的落地應(yīng)用。

網(wǎng)絡(luò)安全對(duì) GPT 的天然需求

為什么市場呼喚安全 GPT？一個(gè)重要原因在于安全運(yùn)營中發(fā)生的變化越來越多，大概可以總結(jié)為三個(gè)主要方面：風(fēng)險(xiǎn)、資產(chǎn)、威脅。

面對(duì)風(fēng)險(xiǎn)，演習(xí)中經(jīng)常能夠發(fā)現(xiàn)：越來越多的攻擊開始大量使用 0day。對(duì)于軟件廠商和用戶來說，0day 攻擊是危害最大的一類攻擊，它被攻擊者掌握卻未被軟件廠商修復(fù)，在暴露前對(duì)于廠商來說是未知的風(fēng)險(xiǎn)。而現(xiàn)實(shí)的傳播中存在大量的已知漏洞與未知漏洞，但基于成本、破壞程度等綜合考慮，并不是所有的漏洞都必須立即打補(bǔ)丁，也存在并不用打補(bǔ)丁的情況。

如何對(duì)已知、未知漏洞進(jìn)行修補(bǔ)時(shí)效上的區(qū)分和判定？是不是所有暴露出來的已知漏洞都必須修復(fù)？在一個(gè)單位面臨幾千到幾十萬個(gè)攻擊中，如何區(qū)分真正成功的漏洞攻擊？都需要使用技術(shù)協(xié)助區(qū)分。

資產(chǎn)方面，對(duì)攻擊面的關(guān)注成為了新趨勢(shì)。資產(chǎn)包括了服務(wù)、軟件、中間件等，甚至人員、供應(yīng)鏈等也會(huì)成為黑客用來突破的攻擊界面。往往企業(yè)或單位的體量越大，容易暴露的攻擊面也就越多。以學(xué)校為例，雖然有很多專業(yè)人員與工具進(jìn)行防范檢查，但是每個(gè)學(xué)生都可被作為攻擊面，更現(xiàn)實(shí)的情況還有人員安全意識(shí)很難大幅提升，導(dǎo)致黑客發(fā)個(gè)郵件，發(fā)個(gè) QQ，可能就會(huì)實(shí)現(xiàn)欺騙、釣魚。

說到威脅，古老的攻擊方式——釣魚，現(xiàn)在也釣出許多新花樣。釣魚工具日漸高級(jí)，二維碼釣魚、加企業(yè)微信釣魚、發(fā)郵件釣魚、附件釣魚等等層出不窮，現(xiàn)在釣魚已經(jīng)跟過去魚叉式攻擊結(jié)合起來，防范難度被迫需要升級(jí)。而除了釣魚攻擊之外，還有很多覆蓋范圍較廣、以金錢為主要目的的勒索軟件，以及針對(duì)性極強(qiáng)的威脅—— APT 攻擊，這對(duì)國產(chǎn)軟件發(fā)展也造成了一定威脅。

據(jù) 360 發(fā)布的《2022 年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告》，2022 年針對(duì)中國發(fā)起的攻擊活動(dòng)共涉及 14 個(gè) APT 組織，政府、教育、信息技術(shù)、科研和國防軍工等 15 個(gè)行業(yè)領(lǐng)域依然是 APT 組織攻擊活動(dòng)主要的目標(biāo)領(lǐng)域。此外，在 2022 年 APT 組織針對(duì)我國展開的攻擊活動(dòng)目標(biāo)中，包含我國國產(chǎn)化操作系統(tǒng)和自主軟件供應(yīng)商，顯示出了攻擊活動(dòng)瞄準(zhǔn)我國自主可控領(lǐng)域發(fā)展的趨勢(shì)。

網(wǎng)絡(luò)安全形勢(shì)復(fù)雜，而龐大的人才缺口又加劇了這一挑戰(zhàn)。多位網(wǎng)絡(luò)安全企業(yè)的高管層曾不同程度向鈦媒體 App 表達(dá)過網(wǎng)絡(luò)安全在人才方面的窘迫現(xiàn)狀。" 網(wǎng)安人才的缺口至少有幾十萬，這其中尤為缺少能夠解決以上復(fù)雜難題的專家。" 微步在線創(chuàng)始人兼 CEO 薛鋒對(duì)鈦媒體 App 表示。

教育部數(shù)據(jù)也印證了這一判斷，據(jù) 2022 年 9 月發(fā)布的《網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書》，到 2027 年，我國網(wǎng)絡(luò)安全人員缺口將達(dá) 327 萬，而高校人才培養(yǎng)規(guī)模為 3 萬 / 年，許多行業(yè)面臨著網(wǎng)絡(luò)安全人才缺失的困境。

業(yè)界期待 GPT 的到來能在一定程度上緩解網(wǎng)絡(luò)安全領(lǐng)域的人才壓力，此前綠盟科技CTO 葉曉虎也對(duì)鈦媒體 App 透露，訓(xùn)練好的 GPT 知識(shí)儲(chǔ)備量可以達(dá)到一年級(jí)博士生的水平。雖然 GPT 技術(shù)在安全的應(yīng)用也是剛剛開始，但從應(yīng)用表現(xiàn)來看，通過分析 IP 以及整合相關(guān)資料提高安全運(yùn)營人員和安全分析師的工作效率，這樣的變化已經(jīng)可以給安全運(yùn)營帶來一些突破和創(chuàng)新。

據(jù)鈦媒體 App 了解，一些網(wǎng)絡(luò)安全客戶也根據(jù)使用需求向企業(yè)提出了更細(xì)節(jié)的想法，已經(jīng)有一些防御者想好了怎么使用安全 GPT，他們甚至希望生成 PPT，直接貼到自己的報(bào)告里面。與客戶業(yè)務(wù)進(jìn)行結(jié)合，與高校、用戶單位共創(chuàng)，或許是安全 GPT 目前發(fā)展的適宜生態(tài)。

據(jù)鈦媒體 App 不完全統(tǒng)計(jì)，當(dāng)前已經(jīng)有微軟、360 集團(tuán)、綠盟科技、微步在線等多家網(wǎng)絡(luò)安全公司已經(jīng)基于大模型推出了對(duì)應(yīng)的 GPT 工具，應(yīng)用方向不乏安全評(píng)估、防御、威脅情報(bào)分析處置自動(dòng)化、安全屆智能客服等領(lǐng)域。可以預(yù)見的是隨著越來越多的安全的企業(yè)加入對(duì) GPT 的探索，網(wǎng)絡(luò)安全運(yùn)營的自動(dòng)化、智能化有望進(jìn)入 " 自動(dòng)駕駛 " 階段。

安全 GPT 的智能化潛力

自從大模型出現(xiàn)之后，深度學(xué)習(xí)等等都變成了 " 傳統(tǒng) AI"。據(jù)了解，在傳統(tǒng) AI 應(yīng)用中，已經(jīng)可以依靠圖數(shù)據(jù)庫和 AI 雙重支持，進(jìn)行關(guān)聯(lián)分析和拓線。據(jù)微步在線數(shù)據(jù)，在 Windows 下的 PE 文件和 Linux 下的 ELF 文件中，傳統(tǒng)機(jī)器學(xué)習(xí)查殺可以做到在 97%、98% 檢出率的情況下，保持十萬分之二，十萬分之五的誤報(bào)率。這種機(jī)器學(xué)習(xí)模型也提高了產(chǎn)出率，只需要幾個(gè)月時(shí)間訓(xùn)練模型以及后續(xù)重復(fù)訓(xùn)練模型可以做到極高產(chǎn)出。

因此，疊加 GPT 之后，網(wǎng)絡(luò)安全智能化又進(jìn)入了一個(gè)新階段。" 使用安全 GPT 的其中一個(gè)作用就是分析 IP，后臺(tái)通過 AI 算法生成對(duì) IP 的判定，提供豐富信息來幫助安全人員做進(jìn)一步分析和研判，提升分析效率。" 薛鋒對(duì)鈦媒體 App 表示。具體來看，判定內(nèi)容首先會(huì)給出域名類型的結(jié)果，再對(duì)這個(gè) IP 威脅類型進(jìn)行進(jìn)一步分析，包括：它是不是做過掃描、是否發(fā)過邏輯郵件，掃描過端口的時(shí)間、攻擊負(fù)載等，更進(jìn)一步還會(huì)有相關(guān)背景或惡意關(guān)聯(lián)信息的延伸介紹。

更具體一些的例子比如黑客域名控制，在過去只會(huì)得到 " 這是一個(gè)遠(yuǎn)程控制域名 " 的答案，而通過安全 GPT 會(huì)得到更多信息：這是個(gè)惡意的域名、注冊(cè)人、注冊(cè)時(shí)間，以及作為命令控制服務(wù)器能干什么事情，這個(gè)黑客的主要目的等等。

不僅如此，接下來安全 GPT 還會(huì)提供簡單的應(yīng)對(duì)方法：它會(huì)進(jìn)一步告訴使用者如何防范這種蠕蟲；并且還會(huì)告訴使用者這個(gè)家族可能有超過一千多個(gè)木馬病毒變種，然后繼續(xù)關(guān)聯(lián)互聯(lián)網(wǎng)上曾經(jīng)報(bào)道過這個(gè)木馬病毒文章的分析和摘要。

但是就目前來看，GPT 在網(wǎng)安行業(yè)內(nèi)的嘗試不會(huì)像其它行業(yè)一樣擁有大幅的能效提升，最重要的原因是" 檢測(cè) " 這一核心的技術(shù)能力無法通過 GPT 準(zhǔn)確實(shí)現(xiàn)。

GPT 的最終效果是進(jìn)行推理總結(jié)，從而輔助安全分析師、安全運(yùn)營人員等提升工作效率，它并不擅長做專業(yè)的檢測(cè)和判斷。檢測(cè)要靠專業(yè)引擎、專業(yè)工具來實(shí)現(xiàn)，對(duì)于判斷是不是病毒這件事情還得依靠上文所提及的傳統(tǒng) AI，利用深度學(xué)習(xí)或者它寫的規(guī)則進(jìn)行判定；而 GPT 在這個(gè)判定過程中容易根據(jù)語言導(dǎo)向推理呈現(xiàn)誤報(bào)、誤判的結(jié)果。"由此，在模型上我們覺得將來更多的是指令的微調(diào)。" 一位網(wǎng)絡(luò)安全領(lǐng)域資深專家判斷。

大模型很重要，但是它無法決定終局的勝負(fù)，作為一個(gè)專業(yè)模型，它對(duì)專業(yè)知識(shí)、專業(yè)場景的理解或許更重要。" 我比較認(rèn)同‘?dāng)?shù)據(jù) + 情報(bào) +AI 就等于安全 GPT ’這個(gè)想法 " 薛鋒說。他表示，數(shù)據(jù)只是我們的勞動(dòng)對(duì)象，我們還是需要情報(bào)和 AI，作為加工和分析數(shù)據(jù)的兩種工具和手段，三者結(jié)合有可能做出好的 GPT。

不過，不同背景的網(wǎng)絡(luò)安全公司對(duì) "GPT" 的研發(fā)和應(yīng)用也存在路線上的差異，比如有的側(cè)重 " 情報(bào) "，有的側(cè)重 " 監(jiān)測(cè) "，有的更偏向于 " 客服 "，有的則跨圈做起了 "AIoT"。但差異之外也有共性存在，在提出安全大模型的網(wǎng)絡(luò)安全公司中，超半數(shù)以上明確提出了大模型的安全運(yùn)營能力，大家也都不同程度的強(qiáng)調(diào)分析、執(zhí)行等環(huán)節(jié)的自動(dòng)化。

而在網(wǎng)絡(luò)安全 "GPT" 的落地應(yīng)用中，各大網(wǎng)絡(luò)安全公司也分處于不同階段，奇安信、安恒信息、綠盟科技等依舊保持著大模型研發(fā)的進(jìn)行時(shí)，但相應(yīng)的，他們也對(duì)大模型的實(shí)踐能力規(guī)劃出更多元的方向，提出更高要求；而已經(jīng)發(fā)布大模型產(chǎn)品的公司也在持續(xù)調(diào)優(yōu)，他們讓基礎(chǔ)的大模型產(chǎn)品率先著陸，再根據(jù)市場變動(dòng)書寫自己的進(jìn)化論。

因此，對(duì)于安全 GPT 的定義可以有多種，但殊途同歸，多元化的競爭環(huán)境或?qū)榫W(wǎng)絡(luò)安全未來積累更肥沃的土壤。（本文首發(fā)鈦媒體 APP 作者 | 賈雨微 編輯 | 秦聰慧）