2023年,网络安全市场的一个重要趋势是生成式AI技术的爆发及应用,欧美科技公司已争相在此领域布局。作为AI巨头,谷歌在今年4月亦发布了“谷歌云AI安全工作台”。在此工作台套件中,谷歌集成了最新的AI对话技术和已有的诸多安全能力,比如Mandiant的威胁态势检测能力、VirusTotal查杀平台等。此案例对于国内运营商具有重要启示:加强科技研发和资本布局,打造“以AI制衡AI的生态闭环”;并大力提升内部安全人员AI实战素养,让生成式AI成为助力“安全型企业”建设的重要手段。

谷歌生成式AI的最新安全实践

MarketsandMarkets预测至2028年,全球AI安全市场规模将达518亿美元,巨大的市场吸引了业界目光。在2023年4月24日的全美信息安全大会上,谷歌宣布推出“谷歌云AI安全工作台”(Google Cloud Security AI Workbench)。这是业界首个由Sec-PaLM大型安全语言模型提供支持的可扩展平台,它以谷歌云的Vertex AI基础架构为基础,集成了包括Mandiant态势感知、VirusTotal查杀平台和Chronicle AI聊天在内的众多谷歌安全能力:

1. Mandiant的威胁态势感知能力。该公司22年被谷歌以54亿美金收购,此后为谷歌的安全生态系统提供情报支持;

2. Sec-PaLM模型的安全威胁查找能力:可储存有害代码,帮用户查找、总结和处理安全威胁;

3. VirusTotal平台的病毒查杀能力:使用上述的Sec-PaLM帮助用户分析和解释恶意脚本的行为,并快速发现及修复漏洞,从而帮助开发者提高应用程序的安全性和稳定性;

4. Chronicle(谷歌的另一安全子公司)的AI聊天能力:使用户能与谷歌的历史安全数据库互动。获取Mandiant、谷歌自身以及其云客户安全库中的历史信息。

图1 谷歌AI安全工作台原理

中国电信研究院整理

谷歌安全工作台的三项核心优势

Google Cloud Security AI Workbench致力于解决三大安全挑战: 威胁的蔓延、繁琐的工具和人才的缺口,从而引领“负责任的AI”的发展:

1. 用AI建模精准遏制威胁

该工作台本质是一种可扩展的安全插件架构,让客户可以在平台之上进行自由的安全模块构建,同时能控制和隔离数据。

它可以将灵敏的威胁情报感知、时间点事件分析以及基于AI的新型检测和分析相结合,以阻止新的感染。例如,VirusTotal代码查杀平台使用Sec-PaLM来分析并预警潜在的恶意脚本;Chronicle漏洞分析服务利用谷歌云和Mandiant威胁情报库自动预警环境漏洞;安全指挥中心(高级版)中添加了攻击路径模拟,可以对涉及复杂步骤、利用多个漏洞和针对多个资源的攻击进行建模。通过攻击路径模拟,团队可以预测对手可能攻击的方式和位置,并评估其云资源的整体风险,以确定响应优先级。

2. 简化工具以实现安全自动化

谷歌认为“安全现代化”的一个重要标志是尽可能简化安全工具,而生成式AI的进步可减少保护庞大暴露面所需的工具数量,并最终使系统“自我保护”。这将极大减少管理多个环境、生成安全设计以及生成安全控制所需的工作量。

比如,工作台内嵌的“Mandiant威胁情报AI”建立在Mandiant公司庞大的威胁数据库之上,可利用Sec-PaLM模型快速查找、总结和应对威胁;“安全指挥中心”也可以与工作台集成,使用不间断的机器学习来检测在客户环境中执行的恶意脚本并立即发出预警,为操作员提供即时的调查结果分析和可能的攻击路径,团队便可以预测对手可能攻击的方式和位置,并评估其云资源的错配情况和整体风险;VirusTotal代码查杀平台能够直接而快速地识别恶意代码中的威胁,减少复杂工具的叠加使用。

3. 操作可视化以降低用户技能门槛

谷歌认为,大多安全从业人员,包括开发人员、系统管理员、网站可靠性工程师,甚至初级安全分析师,都不是受过培训的安全专家,所以致力于实现“安全民主化”并变革“做安全”的方式。具体实现路径是在工作台中嵌入基于 Sec-PaLM的两个新功能:一、Chronicle AI支持用户一键搜索数十亿个安全事件并与结果进行对话、提出后续问题并快速生成检测结果,使用者在上手时无需学习新的语法或模式;二、安全指挥中心AI:安全指挥中心会将复杂的攻击图转化为人类可读的攻击暴露说明,包括受影响的资产和建议的缓解措施。通过这两个功能,“安全性”变得更易理解。

借助“安全指挥中心”的情报汇总以及Chronicle的快速检测功能,初阶安全人员可以快速上手工作台,从而成为“第1层安全操作员”,负责安全态势感知、自由搜索安全事件、与结果进行对话、提出跟进问题并快速生成检测结果;而借助工作台的迭代查询和多变量检测生成、会话过滤和结果交互以及智能案例感知等高级功能,中高级安全专家可以作为“第2层”和“第3层”安全操作员,去专注于威胁分析,而减少其管理多个环境、生成安全设计和安全控制所需的重复工作。

该案例对国内运营商的启示

一、打造“以AI制衡AI”的安全生态闭环,以生成式AI赋能网络安全工作。当前网络威胁的复杂性不断加剧,AI可以加持不法分子的破坏能力(如Chatgpt技术加剧社会工程攻击),但也能被转化为遏制威胁的工具。相比于其他厂商,电信运营商在AI领域的优势在于自身的海量数据(以供训练)。作为流量管道,运营商应利用多年沉淀的网络攻击数据,使用生成式AI技术构建精准的威胁监测模型,及早预警安全威胁;在流量监控中利用充分训练的生成式AI模型,快速检测到包括APT攻击、钓鱼网站、零Day漏洞在内的异常行为;利用AI技术和机器学习算法分析恶意软件、恶意代码的行为模式、检测并预测网络攻击并及时发现并阻止此类软件的传播,自动监测、更新并修复自身系统漏洞;利用生成式AI模型分析网络流量和数据交互的模式,尽早预警数据泄露事件并采取措施阻止。

谷歌云工程副总裁Eric Doerr指出,未来的网络安全防御形态是,当用户搭建完基础设施,AI会自动生成安全策略、安全控制或安全配置。可见全智能化的AI安全策略是未来的业界主流。故中长期来看,国内运营商应加强机器学习技术在日志分析、漏洞扫描、身份认证、事件分析和攻击响应等领域的研究、开发和落地应用,全方位提升安全合规能力;

二、在资本领域,应发挥运营商现金流稳健和可持续的优势,做大做强AI安全资本链及创新链。积极利用资金杠杆,加大对与自身资源互补的安全厂商的合资并购与战略协作力度,打造具有运营商特色的安全聚合生态。比如,控股具备核心研发能力和安全情报资源积累的厂商,将原本位于供应链上游的外部AI安全软硬件供应商收购为子公司,巩固供应链安全并降低采购成本;与安全大厂联合建立“AI安全实验室”,凭借管道优势赋能生成式AI技术资源,打造具有行业竞争力的云安全AI产品、服务及解决方案,实现协同创新的共生共赢,不断沉淀安全能力并反哺自身的关键信息基础设施建设,持续提升安全设备采购自研比率。

三、以AI引领安全业务自动化和人才梯队建设。安全大厂SentinelOne首席执行官Tomer Weigarten指出,有了AI系统助力,安全人士将如虎添翼,每个安全分析师的工作效率是过去的十倍。AI技术对于安全人员的生产力具有乘数放大效应,但此时过于复杂的业务层级将有阻碍作用;目前国内运营商依赖“人工值守”的威胁响应层级制,但在AI安全工作台加持下,安全大模型有望实现全流程的自动化识别、响应和处置。各关键部门应充分依托AI安全工具、情报资源等,围绕监测发现、分析研判、应急处置、通报预警和协同联动工作,科学设置扁平化的威胁处理流程;安全人才培养方面,运营商应以专项业务、前沿课题、工程项目和特定事件为牵引,以“梯度化+专业化”为原则,在内部试点“通用操作型”和“战略&技术咨询型”安全人才的职业路径分流,前者偏重AI功能集成型安全软件操作、威胁情报事件批注与归纳、日常安全运维等职能,而后者偏重安全事件全面复盘分析、安全战略与政策制定和重大安全技术研发等;加大AI素养的在岗培训和行业交流,围绕安全专家团队建设、渠道及生态共建等方面,与外部展开深度合作,打造高素质、多技能的新时代复合型安全人才队伍。

本文作者

雷东亚

分析师,伦敦政经硕士,CISO,就职于中国电信研究院,主要研究方向为运营商极限安全、网络战等领域。

多媒体服务设计团队

制图:李银鑫 | 编辑:王凯雯

审校:董智明、刘馨

声明:本文来自天翼智库,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。