AI+安全发展机会、问题与业务启示
【慧聪通信网】2024年6月5日举行的全球数字经济大会北京网络安全大会将“AI驱动安全“作为主题,未来网络攻防,得AI者得天下。网络安全建设是“新质生产力”的坚实保障和底板工程。根据安永《2023全球网络安全领导力洞察研究》报告数据,调研企业平均每年面临44起重大网络事件,但检测和响应较慢,有四分之三的企业需要六个月或更长时间才能检测和响应事件,企业数字化发展安全基础不牢。AI赋能驱动安全,能在数字经济大发展的背景下进一步提升网络安全防护能力。
网络安全市场空间大,参与竞争企业和产品多,AI能力已初步部署
网络安全市场面临新的发展机会,市场规模大。网络安全“三法一条”法律法规的要求,政企单位系统云化对数据保护需求,逐年增长的网络威胁防护需求,为网安市场发展带来新的机会。艾媒咨询数据显示,2023年中国网络安全市场规模约为683.6亿元,2027年有望增至884.4亿元。市场参与竞争企业多,产品种类广。根据安全牛2024年第十一版《中国网络安全行业全景图》数据,一级分类16类,二级108个领域,包含2413项应用。
众多的网络安全产品已经运用了参数少、结构简单的AI小模型来提升产品检测、分析、响应的效率,生成式AI(大模型)在网络安全领域的应用目前还处于初级阶段。据IDC全球未来信任十大预测——中国启示》预测,到2025年,中国40%的2000强企业将在其安全运营中心中基于第一方数据部署GenAI。
AI提升网络安全能力,实现了智能分析、自动快速响应、自适应防御、跨域协同防御
AI+安全改变了网络安全的防护方式,通过智能分析与预警、自动化响应、自适应防御、跨域协同防御等手段,构建了一个更加动态、高效、智能的安全防护网,解决政企机构长期面临的告警疲劳、专家稀缺、效率瓶颈等网络安全困扰。
实现智能分析与预警。AI被嵌入到各种安全产品中,如入侵检测系统(IDS)、安全信息和事件管理(SIEM)平台、终端保护解决方案等,实时分析网络流量、用户行为、系统日志等数据,快速准确地识别异常活动和潜在威胁,并时发出预警,使安全团队能够迅速响应。
实现自动化快速响应。在检测到威胁后,AI系统利用复杂的算法和模型进行深度分析,根据威胁的性质、影响范围和紧急程度,自动做出最优的响应决策,触发一系列预定义的响应动作。这些决策可能包括封锁恶意IP、隔离受感染设备、阻断恶意流量、触发警报通知管理员等,有效遏制并消除威胁,减少人工干预的时间成本和错误率。
实现自适应性防御。AI模型通过机器学习不断从新的攻击案例、漏洞信息和网络行为中学习,优化其检测算法,提升对新兴威胁的识别能力。通过分析历史数据和当前威胁态势,智能推荐最佳安全策略和资源配置方案,确保安全投资效益最大化。
实现跨域协同防御。AI系统能够整合不同网络域的数据,在各域之间实时共享安全情报,进行跨域安全行为分析检测。在遭受安全攻击时,能协调不同安全域之间的响应行动,实现跨域的资源调度、信息共享和协同作战,提升安全能力和防护效率。
AI赋能产品模式上,实现从赋能网络安全产品,向驱动安全平台提升
AI主要通过赋能安全产品或驱动安全平台的模式增强网络安全防护能力。AI赋能安全产品,集成到现有的安全流程中,帮助自动化和优化安全任务。AI驱动安全平台,整合多种安全功能和产品,实现高度自动化和智能化,解决一揽子安全问题。
AI赋能安全产品,通常是在单一安全产品或解决方案中集成人工智能技术,以增强其特定功能。这类产品赋能一般专注于某个安全领域,如威胁检测、身份认证、访问控制或漏洞管理,特点是针对性强,旨在解决具体的安全问题,通常是作为整体安全架构的一部分部署。如微软 Security Copilot,将大模型GPT-4内置在产品中,并与微软拥有65万亿个网络安全威胁的安全模型库相结合使用,极大的提升了安全范围、杀毒响应。
AI驱动安全平台,指一个更广泛、综合性的安全管理系统,其中AI不仅是作为一个功能组件,而是作为平台的核心驱动力,贯穿于整个安全管理和运营流程。平台通常集成了多种安全工具和服务,通过AI来整合数据、分析威胁、自动快速响应、优化防护策略等。特点是高度集成、自动化程度高,能够提供跨领域的安全态势感知和响应能力。如Palo Alto Networks推出的基于AI驱动的新产品XSIAM(扩展安全智能和自动化管 理),是⼀个云交付的集成SOC平台,将EDR、XDR、SOAR、ASM、UEBA、TIP和SIEM等多个产品和功能整合到 ⼀个集成平台中,底层完全由AI驱动,帮助用户实现网安一体化安全。
AI驱动的安全平台将逐步占据市场主导地位。随着网络攻击面不断扩大,越来越多的企业将系统迁至云端,导致需要保护的数据和业务数量急剧增加。AI赋能下,攻击模式更多样化,攻击力更强,需要通过自动化、智能化快速调度各种安全能力,将攻击和威胁即时隔绝,使得对AI驱动的安全平台需求增加。
AI赋能同步增大网络安全威胁,存在一定发展问题
AI赋能放大现有网络安全威胁,引发网络安全事件指数级增长。受制于数据、算法、算例和安全标准等因素的限制,AI和安全的结合也还存在一定问题。
AI增大了网络安全威胁和攻击。AI能够使攻击者自动化发现和利用系统漏洞,执行更快速、更复杂的攻击,AGI工具将黑客生成新威胁的时间由之前的“数个月”缩减至几小时甚至几分钟。AI驱动的深度伪造技术可以创建极其逼真的音频、视频内容,使得社会工程学攻击更为隐蔽和有效。数据显示,2023年,基于AI的深度伪造欺诈暴增3000%,基于AI的钓鱼邮件数量增长了1000%。
数据质量导致AI模型能力达不到预期。安全大数据是AI模型的核心壁垒,需要确保数据的质量和多样性。大多数用于训练模型的数据不准确、不全面或存在偏差,数据规模少,导致模型的预测和检测能力表现不佳。如DDoS攻击,如果数据集中缺少其他类型攻击(如高级持续性威胁APT)的样本,模型就可能无法有效识别这些未充分代表的攻击方式,当遇到这类攻击时,模型可能会误判为正常活动,从而降低了安全防护的有效性。
缺乏统一网络安全标准实现对跨设备、跨系统、跨厂商安全能力的集中调度。由于没有行业统一的安全标准,不同设备和系统采用了不同的防护措施,不同供应商和平台之间的安全产品和服务往往缺乏良好的互操作性,难以在跨设备、跨系统的层面实现高效的信息共享和协作防御,降低了响应速度和效果。
增强AI能力,提升智能化运营水平。开发能够自动检测和应对AI驱动攻击的安全系统,使用AI进行威胁狩猎、实时监测和异常检测,以及实施更智能的身份验证和访问控制机制。建立大模型驱动的安全智能化运营体系,融合大语言模型或其他类型的大模型的高级认知能力,预测威胁趋势,并自动调用相应的安全工具和小模型进行协同防御,从而大幅提升应急响应的效率和精确度。广泛利用各种安全数据,做好模型的训练,提升模型的可靠性。
推行更高层面统一的网络安全防护标准。标准化接入与识别,推动制定统一的接入标准,确保各类设备能够无缝对接安全平台,实现快速识别与管理。数据与指令标准化,确立统一的数据输入与指令输出标准,消除信息孤岛,使AI能够跨平台理解数据、识别问题,并能向不同设备发出标准化指令,实现跨设备、跨系统的协同防御和高效联动。
实现跨安全域的统一管理。构建集成的安全平台,将网络、终端、应用、数据等多个安全域纳入统一管理框架,实现全面防御。这种集中管理不仅提高了响应速度,也便于资源的高效调配和策略的一致性实施。
