安全智能分析|精华解读之技术体系篇

随着网络空间的攻击面的延伸和拓展,网络空间攻防双方信息不对称的现象愈发明显。伴随着攻防对抗态势的升级,自动化技术、智能化技术与安全分析技术融合的安全智能分析技术已成为网络安全技术发展的必然趋势之一。绿盟科技于近日推出安全智能分析技术白皮书《智能基座,开启安全分析新时代》,旨在对SecXOps概念内涵、技术优势、核心能力、关键技术和应用实践进行全面地总结与介绍,期望为读者带来全新的技术思考,助力网络安全智能分析实现自动化、智能化进阶。本文为安全智能分析白皮书精华解读第一篇,将重点介绍安全智能分析的发展背景、关键技术挑战以及SecXOps技术体系。

一、 安全分析的发展背景与趋势

随着APT攻击等高隐蔽未知威胁的出现和演进,传统安全分析技术难以满足APT攻击检测的要求,亟需融合多手段的检测技术来应对种类日益多样化的安全威胁攻击。在安全威胁具有更强的杀伤力与隐蔽性的形势下,结合大数据和人工智能技术的安全智能分析成为新一代安全能力的关键,是网络空间安全的重要发展方向之一。

由于APT攻击等网络威胁利用大数据分析、自动化工具等先进技术来提升恶意攻击的效率和隐蔽性,倒逼网络安全分析突破依赖安全专家的传统“人工”阶段,进入安全智能分析阶段。安全智能分析运用人工智能技术从安全大数据中进行威胁检测分析,直接或间接地提高安全分析效率,在实际攻防实战中充当智能化助手的角色,帮安全分析员更加快速地定位威胁攻击,提升安全分析的自动化、智能化水平。回顾网络安全分析发展历程,可以将安全分析技术发展大致划分为三个阶段,包括基础级、领先级、卓越级,如图1所示:

网络安全分析发展阶段

二、安全智能分析的挑战

随着各个国家的重视和布局,大数据技术和人工智能技术发展迅速,相关自动化与智能化的识别和处理能力、数据分析能力逐渐与网络安全技术进行了深度协同,对网络安全的技术、方法、应用产生了重要影响,促进了网络安全技术的变革性的进步[1]。可以预见的是安全数据采集和智能安全数据分析技术的成熟将会大幅提升网络安全威胁检测、网络安全风险评估等关键安全防御环节的效率,大幅减少对网络安全专家的依赖,有效地降低企业、组织乃至国家级关键信息基础设施、数据资产的整体安全风险[2]。因此,安全智能分析能力的提升已经成为安全能力落地、发挥网络安全防御有效性和对抗APT等高级威胁最直接、最关键的环节之一。面对日趋白热化、持续化的网络攻防对抗环境,安全智能分析也在多个方面面临着诸多挑战。

  • 数据治理

企业数字化转型浪潮的来临,多源异构数据的爆发式增长,使数据治理得到了企业的普遍关注和重视。大规模数据蕴藏的巨大潜在价值吸引着攻击者对集中存储的数据进行窃取,因此,对海量数据的管理是企业亟待解决的一项艰巨任务。

  • 模型开发

在很多场景下,不同领域的模型针对某一特定场景的任务在准确率、查准率、查全率和时间复杂度等很多指标上都有明显的鸿沟,无法将其他领域的模型直接应用到一个新的领域。

  • 模型交付

由于实验室中的算法模型的分类结果依赖收集到和标定好的数据集合,在实际应用场景下,数据分布的变化、数据复杂度的提升等因素可能会导致大部分实验室中表现良好的模型面临失效的困境。

  • 模型运营

针对不同的场景、不同的数据、不同的算法需要采用不同的数据处理方式,模型更新完成后又需要与产品开发人员对接,导致运营、研究、开发多个部门之间耦合程度过高,造成人力和时间的浪费。

  • AI工程化

基于AI的网络安全分析模型在真实场景的工程化需要考虑诸多因素,包括真实场景中算法效果的局限性,上下游数据是否具备可用性,算力是否能够支撑安全分析算法的运行实现,以及性能的消耗等。

SecXOps技术体系

运维(Ops)发展至今在企业中的重要性越来越高,随着各行各业数字化规模越来越大,组件监控粒度越来越细,不断有新技术和组件被引入运维体系。运维体系不断向着多元化方向发展,XOps即其他技术与Ops的融合,随着不同的Ops发展,XOps已成为定义DevOps、DataOps、MLOps、ModelOps、Platform Ops for AI等组合的总称。Gartner指出XOps的目标是使用DevOps的最佳实践实现效率和规模经济,在确保可靠性、可用性和可重复性的前提下,减少技术和流程的重复,实现进阶自动化[3]。总的来说,XOps技术促进企业组织通过数据和分析的运营技术赋能业务,推动提升业务价值。

SecXOps即XOps for security,以XOps与安全场景的融合为基础,由安全数据资产高质可信、安全模型全生命周期管理、安全模型高精度定制、安全模型自动化运营、AI工程化持续保障五大核心技术能力组成,在保证安全性的同时,减少技术和流程的重复,实现网络安全分析自动化、智能化进阶,是未来应对网络空间高级、持续、复杂威胁与风险不可或缺的关键技术之一。

图 2 SecXOps核心技术能力拆解

SecXOps将XOps实践扩展到网络安全领域,从安全数据治理、ML模型管理、AI模型管理和底层基础设施建设等各个阶段建立强大的DevOps实践,以支撑安全数据治理与安全模型训练、管理和监控,发挥Ops技术在安全领域的巨大潜在价值,为网络安全的数据分析人员、ML工程团队、应用开发团队和安全运营团队的协作搭建安全、兼容和经济高效的平台,从而实现基于AI的安全系统的持续交付。其技术优势如下图3所示:

图 3 SecXOps技术优势

总结

本技术白皮书描述了安全智能分析背景和趋势,以及面临的挑战,提出了SecXOps概念内涵、技术优势以及核心能力,从安全分析的实践出发,重点总结了SecXOps关键技术在五个安全分析场景中的应用实践。

后续精华解读,将介绍SecXOps技术在网络安全的实际场景中的应用,敬请期待。

参考文献

  1. 方滨兴, et al., 人工智能赋能网络攻击的安全威胁及应对策略.中国工程科学, 2021. 23(3): p. 7.
  2. 《AISecOps 智能安全运营技术白皮书》. Available from: http://blog.nsfocus.net/wp-content/uploads/2020/12/AISecOps_White_Paper_NSFOCUS_20201218.pdf.
  3. Gartner Top 10 Data and Analytics Trends for 2021. 2021; Available from: https://www.gartner.com/smarterwithgartner/gartner-top-10-data-and-analytics-trends-for-2021.

白皮书全文链接

https://book.yunzhan365.com/tkgd/pkqz/mobile/index.html

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author