人才缺口超三百萬，大模型驅(qū)動(dòng)網(wǎng)絡(luò)安全運(yùn)營走向“自動(dòng)駕駛” 環(huán)球速看

圖片來源：視覺中國

若說當(dāng)前網(wǎng)絡(luò)安全行業(yè)關(guān)注度最高的技術(shù)應(yīng)用方向，非AI大模型莫屬，網(wǎng)絡(luò)安全行業(yè)也在呼喚GPT盡快應(yīng)用至業(yè)務(wù)。

(資料圖)

隨著攻防演練走向?qū)崙?zhàn)化，一些新變化在一次次實(shí)戰(zhàn)演練中日益凸顯。技術(shù)奔走，當(dāng)前國內(nèi)網(wǎng)絡(luò)安全在攻擊側(cè)和需求側(cè)都與以往不同，網(wǎng)絡(luò)安全模式和產(chǎn)業(yè)出現(xiàn)相應(yīng)新特征，效果導(dǎo)向成為了網(wǎng)絡(luò)安全建設(shè)的落點(diǎn)。目前，網(wǎng)絡(luò)安全行業(yè)已經(jīng)基本告別了安全基礎(chǔ)防護(hù)和合規(guī)建設(shè)，轉(zhuǎn)而將焦點(diǎn)放在了安全運(yùn)營與實(shí)戰(zhàn)演練。

企業(yè)所面對(duì)的風(fēng)險(xiǎn)、資產(chǎn)與威脅，是近年來網(wǎng)絡(luò)安全運(yùn)營中變化最明顯的部分。技術(shù)帶來的問題還要靠技術(shù)解決，安全從業(yè)者還是要擁抱新技術(shù)、應(yīng)對(duì)新變化，探索大數(shù)據(jù)、威脅情報(bào)、AI大模型等新技術(shù)在網(wǎng)絡(luò)安全運(yùn)營中的落地應(yīng)用。

網(wǎng)絡(luò)安全對(duì)GPT的天然需求

為什么市場(chǎng)呼喚安全GPT？一個(gè)重要原因在于安全運(yùn)營中發(fā)生的變化越來越多，大概可以總結(jié)為三個(gè)主要方面：風(fēng)險(xiǎn)、資產(chǎn)、威脅。

面對(duì)風(fēng)險(xiǎn)，演習(xí)中經(jīng)常能夠發(fā)現(xiàn)：越來越多的攻擊開始大量使用0day。對(duì)于軟件廠商和用戶來說，0day攻擊是危害最大的一類攻擊，它被攻擊者掌握卻未被軟件廠商修復(fù)，在暴露前對(duì)于廠商來說是未知的風(fēng)險(xiǎn)。而現(xiàn)實(shí)的傳播中存在大量的已知漏洞與未知漏洞，但基于成本、破壞程度等綜合考慮，并不是所有的漏洞都必須立即打補(bǔ)丁，也存在并不用打補(bǔ)丁的情況。

如何對(duì)已知、未知漏洞進(jìn)行修補(bǔ)時(shí)效上的區(qū)分和判定？是不是所有暴露出來的已知漏洞都必須修復(fù)？在一個(gè)單位面臨幾千到幾十萬個(gè)攻擊中，如何區(qū)分真正成功的漏洞攻擊？都需要使用技術(shù)協(xié)助區(qū)分。

資產(chǎn)方面，對(duì)攻擊面的關(guān)注成為了新趨勢(shì)。資產(chǎn)包括了服務(wù)、軟件、中間件等，甚至人員、供應(yīng)鏈等也會(huì)成為黑客用來突破的攻擊界面。往往企業(yè)或單位的體量越大，容易暴露的攻擊面也就越多。以學(xué)校為例，雖然有很多專業(yè)人員與工具進(jìn)行防范檢查，但是每個(gè)學(xué)生都可被作為攻擊面，更現(xiàn)實(shí)的情況還有人員安全意識(shí)很難大幅提升，導(dǎo)致黑客發(fā)個(gè)郵件，發(fā)個(gè)QQ，可能就會(huì)實(shí)現(xiàn)欺騙、釣魚。

說到威脅，古老的攻擊方式——釣魚，現(xiàn)在也釣出許多新花樣。釣魚工具日漸高級(jí)，二維碼釣魚、加企業(yè)微信釣魚、發(fā)郵件釣魚、附件釣魚等等層出不窮，現(xiàn)在釣魚已經(jīng)跟過去魚叉式攻擊結(jié)合起來，防范難度被迫需要升級(jí)。而除了釣魚攻擊之外，還有很多覆蓋范圍較廣、以金錢為主要目的的勒索軟件，以及針對(duì)性極強(qiáng)的威脅——APT攻擊，這對(duì)國產(chǎn)軟件發(fā)展也造成了一定威脅。

據(jù)360發(fā)布的《2022年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告》，2022年針對(duì)中國發(fā)起的攻擊活動(dòng)共涉及14個(gè)APT組織，政府、教育、信息技術(shù)、科研和國防軍工等15個(gè)行業(yè)領(lǐng)域依然是APT組織攻擊活動(dòng)主要的目標(biāo)領(lǐng)域。此外，在2022年APT組織針對(duì)我國展開的攻擊活動(dòng)目標(biāo)中，包含我國國產(chǎn)化操作系統(tǒng)和自主軟件供應(yīng)商，顯示出了攻擊活動(dòng)瞄準(zhǔn)我國自主可控領(lǐng)域發(fā)展的趨勢(shì)。

網(wǎng)絡(luò)安全形勢(shì)復(fù)雜，而龐大的人才缺口又加劇了這一挑戰(zhàn)。多位網(wǎng)絡(luò)安全企業(yè)的高管層曾不同程度向鈦媒體App表達(dá)過網(wǎng)絡(luò)安全在人才方面的窘迫現(xiàn)狀。“網(wǎng)安人才的缺口至少有幾十萬，這其中尤為缺少能夠解決以上復(fù)雜難題的專家?！蔽⒉皆诰€創(chuàng)始人兼CEO薛鋒對(duì)鈦媒體App表示。

教育部數(shù)據(jù)也印證了這一判斷，據(jù)2022年9月發(fā)布的《網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書》，到2027年，我國網(wǎng)絡(luò)安全人員缺口將達(dá)327萬，而高校人才培養(yǎng)規(guī)模為3萬/年，許多行業(yè)面臨著網(wǎng)絡(luò)安全人才缺失的困境。

業(yè)界期待GPT的到來能在一定程度上緩解網(wǎng)絡(luò)安全領(lǐng)域的人才壓力，此前綠盟科技CTO葉曉虎也對(duì)鈦媒體App透露，訓(xùn)練好的GPT知識(shí)儲(chǔ)備量可以達(dá)到一年級(jí)博士生的水平。雖然GPT技術(shù)在安全的應(yīng)用也是剛剛開始，但從應(yīng)用表現(xiàn)來看，通過分析IP以及整合相關(guān)資料提高安全運(yùn)營人員和安全分析師的工作效率，這樣的變化已經(jīng)可以給安全運(yùn)營帶來一些突破和創(chuàng)新。

據(jù)鈦媒體App了解，一些網(wǎng)絡(luò)安全客戶也根據(jù)使用需求向企業(yè)提出了更細(xì)節(jié)的想法，已經(jīng)有一些防御者想好了怎么使用安全GPT，他們甚至希望生成PPT，直接貼到自己的報(bào)告里面。與客戶業(yè)務(wù)進(jìn)行結(jié)合，與高校、用戶單位共創(chuàng)，或許是安全GPT目前發(fā)展的適宜生態(tài)。

鈦媒體App經(jīng)公開數(shù)據(jù)整理

據(jù)鈦媒體App不完全統(tǒng)計(jì)，當(dāng)前已經(jīng)有微軟、360集團(tuán)、綠盟科技、微步在線等多家網(wǎng)絡(luò)安全公司已經(jīng)基于大模型推出了對(duì)應(yīng)的GPT工具，應(yīng)用方向不乏安全評(píng)估、防御、威脅情報(bào)分析處置自動(dòng)化、安全屆智能客服等領(lǐng)域?？梢灶A(yù)見的是隨著越來越多的安全的企業(yè)加入對(duì)GPT的探索，網(wǎng)絡(luò)安全運(yùn)營的自動(dòng)化、智能化有望進(jìn)入“自動(dòng)駕駛”階段。

安全GPT的智能化潛力

自從大模型出現(xiàn)之后，深度學(xué)習(xí)等等都變成了“傳統(tǒng)AI"。據(jù)了解，在傳統(tǒng)AI應(yīng)用中，已經(jīng)可以依靠圖數(shù)據(jù)庫和AI雙重支持，進(jìn)行關(guān)聯(lián)分析和拓線。據(jù)微步在線數(shù)據(jù)，在Windows下的PE文件和Linux下的ELF文件中，傳統(tǒng)機(jī)器學(xué)習(xí)查殺可以做到在97%、98%檢出率的情況下，保持十萬分之二，十萬分之五的誤報(bào)率。這種機(jī)器學(xué)習(xí)模型也提高了產(chǎn)出率，只需要幾個(gè)月時(shí)間訓(xùn)練模型以及后續(xù)重復(fù)訓(xùn)練模型可以做到極高產(chǎn)出。

因此，疊加GPT之后，網(wǎng)絡(luò)安全智能化又進(jìn)入了一個(gè)新階段?！笆褂冒踩獹PT的其中一個(gè)作用就是分析IP，后臺(tái)通過AI算法生成對(duì)IP的判定，提供豐富信息來幫助安全人員做進(jìn)一步分析和研判，提升分析效率?！毖︿h對(duì)鈦媒體App表示。具體來看，判定內(nèi)容首先會(huì)給出域名類型的結(jié)果，再對(duì)這個(gè)IP威脅類型進(jìn)行進(jìn)一步分析，包括：它是不是做過掃描、是否發(fā)過邏輯郵件，掃描過端口的時(shí)間、攻擊負(fù)載等，更進(jìn)一步還會(huì)有相關(guān)背景或惡意關(guān)聯(lián)信息的延伸介紹。

更具體一些的例子比如黑客域名控制，在過去只會(huì)得到“這是一個(gè)遠(yuǎn)程控制域名”的答案，而通過安全GPT會(huì)得到更多信息：這是個(gè)惡意的域名、注冊(cè)人、注冊(cè)時(shí)間，以及作為命令控制服務(wù)器能干什么事情，這個(gè)黑客的主要目的等等。

不僅如此，接下來安全GPT還會(huì)提供簡單的應(yīng)對(duì)方法：它會(huì)進(jìn)一步告訴使用者如何防范這種蠕蟲；并且還會(huì)告訴使用者這個(gè)家族可能有超過一千多個(gè)木馬病毒變種，然后繼續(xù)關(guān)聯(lián)互聯(lián)網(wǎng)上曾經(jīng)報(bào)道過這個(gè)木馬病毒文章的分析和摘要。

但是就目前來看，GPT在網(wǎng)安行業(yè)內(nèi)的嘗試不會(huì)像其它行業(yè)一樣擁有大幅的能效提升，最重要的原因是“檢測(cè)”這一核心的技術(shù)能力無法通過GPT準(zhǔn)確實(shí)現(xiàn)。

GPT的最終效果是進(jìn)行推理總結(jié)，從而輔助安全分析師、安全運(yùn)營人員等提升工作效率，它并不擅長做專業(yè)的檢測(cè)和判斷。檢測(cè)要靠專業(yè)引擎、專業(yè)工具來實(shí)現(xiàn)，對(duì)于判斷是不是病毒這件事情還得依靠上文所提及的傳統(tǒng)AI，利用深度學(xué)習(xí)或者它寫的規(guī)則進(jìn)行判定；而GPT在這個(gè)判定過程中容易根據(jù)語言導(dǎo)向推理呈現(xiàn)誤報(bào)、誤判的結(jié)果?！?strong>由此，在模型上我們覺得將來更多的是指令的微調(diào)。”一位網(wǎng)絡(luò)安全領(lǐng)域資深專家判斷。

大模型很重要，但是它無法決定終局的勝負(fù)，作為一個(gè)專業(yè)模型，它對(duì)專業(yè)知識(shí)、專業(yè)場(chǎng)景的理解或許更重要?！拔冶容^認(rèn)同‘?dāng)?shù)據(jù)+情報(bào)+AI就等于安全GPT’這個(gè)想法”薛鋒說。他表示，數(shù)據(jù)只是我們的勞動(dòng)對(duì)象，我們還是需要情報(bào)和AI，作為加工和分析數(shù)據(jù)的兩種工具和手段，三者結(jié)合有可能做出好的GPT。

不過，不同背景的網(wǎng)絡(luò)安全公司對(duì)“GPT”的研發(fā)和應(yīng)用也存在路線上的差異，比如有的側(cè)重“情報(bào)”，有的側(cè)重“監(jiān)測(cè)”，有的更偏向于“客服”，有的則跨圈做起了“AIoT”。但差異之外也有共性存在，在提出安全大模型的網(wǎng)絡(luò)安全公司中，超半數(shù)以上明確提出了大模型的安全運(yùn)營能力，大家也都不同程度的強(qiáng)調(diào)分析、執(zhí)行等環(huán)節(jié)的自動(dòng)化。

而在網(wǎng)絡(luò)安全“GPT”的落地應(yīng)用中，各大網(wǎng)絡(luò)安全公司也分處于不同階段，奇安信、安恒信息、綠盟科技等依舊保持著大模型研發(fā)的進(jìn)行時(shí)，但相應(yīng)的，他們也對(duì)大模型的實(shí)踐能力規(guī)劃出更多元的方向，提出更高要求；而已經(jīng)發(fā)布大模型產(chǎn)品的公司也在持續(xù)調(diào)優(yōu)，他們讓基礎(chǔ)的大模型產(chǎn)品率先著陸，再根據(jù)市場(chǎng)變動(dòng)書寫自己的進(jìn)化論。

因此，對(duì)于安全GPT的定義可以有多種，但殊途同歸，多元化的競(jìng)爭環(huán)境或?qū)榫W(wǎng)絡(luò)安全未來積累更肥沃的土壤。（本文首發(fā)鈦媒體APP 作者 | 賈雨微 編輯 | 秦聰慧）?

標(biāo)簽：

　　 原標(biāo)題：人才缺口超三百萬，大模型驅(qū)動(dòng)網(wǎng)絡(luò)安全運(yùn)營走向“自動(dòng)駕駛” 環(huán)球速看