一、大模型给企业带来的信息安全运营挑战
随着信息技术的不断发展与更迭,网络攻击手段也呈现逐年升高的趋势。如基于大模型技术出现的网络攻击手段,给企业带来了诸多困扰。
首先,基于大模型技术的网络钓鱼攻击变得更加狡猾和难以识别。攻击者可以利用大模型生成逼真的钓鱼邮件或消息,诱骗企业员工点击恶意链接或下载恶意附件,从而窃取企业的敏感信息或执行恶意代码。这种攻击方式具有很高的隐蔽性和成功率,使得企业难以防范。
其次,大模型技术也被用于生成恶意代码和恶意软件。攻击者可以利用大模型生成具有高度隐蔽性和破坏力的恶意代码,这些代码可以轻易地绕过企业的安全检测机制,对企业的信息系统造成严重的破坏。
此外,大模型技术还被用于进行字典攻击和暴力破解等密码破解手段。攻击者可以利用大模型从企业的日志文件或对话数据中提取关键信息,然后利用这些信息进行密码破解,从而获取企业的敏感数据。
二、信息安全运营大模型的规划
信息安全运营对于企业和组织而言都至关重要,它牵扯到企业信息资产的安全,通过各种技术手段和流程确保其机密性、完整性和可用性。主要涉及到企业的核心资产保护、正常运营维护、法律法规遵守以及竞争力提升等方面。因此,企业和组织需要高度重视信息安全运营,建立完善的信息安全管理体系,提高信息安全意识和技能,确保企业的信息安全。
利用大模型技术,攻击者第一时间升级了攻击装备,如初级攻击者,借助AI大模型,可以批量产出高级的攻击工具;通过常规方式溯源,无法及时看到攻击者,及时看到也追不上攻击者,非常被动。尽快找到新的安全解决方案成为信息安全团队重要的任务之一。
参考中信建投《从ChatGPT到生成式AI(Generative AI): 人工智能新范式,重新定义生产力》,大语言模型的爆发,使AI 迎来了高光时刻。
图1-全球人工智能市场规模及预测
根据某车企五年规划,在信息安全运营方面将采用“以机器对抗机器的策略”,强化集团信息安全运营工作,实现AI+安全+人工共治的方式,提升信息安全运营效率,并提高安全威胁防御能力。
图2-AI+安全发展之路
网络安全的本质在于对抗,攻防对抗能否成功,在于能否在速度、广度上超越攻击方。
所以为更好的利用大模型,有效的提升运营质量,其在信息安全运营上的规划应该考虑以下几个方面:
技术选型与评估:首先,需要评估不同的大模型技术,如深度学习、自然语言处理等,在安全运营中的适用性和效果。根据实际需求,选择最适合的大模型技术。为此集团与行业前三的安全厂商进行沟通,结合企业自身信息安全特点,挑选适合自己的安全模型。
-
数据收集与处理:为训练和优化大模型,需要收集大量的安全数据,包括日志、网络流量、用户行为等。同时,需要对这些数据进行预处理和清洗,以消除噪声和异常值,提高数据质量。所以一定要打通各安全设备与大模型中心的通道,目前集团101套安全设备均将安全日志自动上传到训练中心。
-
模型训练与优化:利用收集的数据进行模型训练,不断调整模型参数和结构,以提高模型的准确性和泛化能力。同时,需要关注模型的过拟合和欠拟合问题,避免模型在训练集上表现良好,但在测试集上表现不佳。所以我们与服务商多次配合联调,使其与企业实际安全系统和业务需求相匹配。
-
模型部署与集成:将训练好的模型部署到安全运营环境中,与其他安全工具和系统进行集成。这需要考虑模型的输入和输出格式、与其他系统的通信方式等问题,确保模型能够顺利运行并与其他系统协同工作。为降本增效,集团采用SaaS的方式,云上+云下共治方式,所有安全事件通过加密链路上传至公有云,充分利用云端的资源对数据进行训练,指导安全运营。
-
监控与调优:在模型运行过程中,需要对其进行监控和调优。通过收集模型的运行数据和性能指标,了解模型的运行状态和问题,及时进行调整和优化。同时,需要关注模型的安全性和稳定性,避免模型被攻击或产生异常行为。
-
人员培训与支持:大模型技术的应用需要专业的技术人员进行支持和维护。因此,需要培训一支具备大模型技术知识和经验的技术团队,负责模型的训练、部署、监控和调优等工作。由于集团现有资源问题,所以线上人员均为安全公司专业工程师,负责SaaS的维护。线下人员为集团信息安全人员,定期接受原厂培训,处理核心安全事件。
-
合规性与隐私保护:在应用大模型技术时,需要遵守相关法律法规和隐私政策,确保数据的合法性和隐私性。同时,需要采取措施保护模型的知识产权和商业机密,避免泄露和滥用。
-
防勒索:AI大模型需要高频次调动数据,企业面临着以勒索病毒为代表的更深刻的数据安全问题。需要从传统的单一设备安全防护思维中脱离,构建一个多层次、全方位的安全防护体系。这包括从网络层到应用层、从边界防护到终端安全、以及从架构冗余到数据备份的全面考量。在存储设备层面,关键的防勒索技术包括防篡改技术(如安全快照、WORM),Air Gap(安全隔离)和侦测分析等。这些技术能够在数据被攻击时提供有效的恢复机制,是构建综合安全防护体系的重要组成部分。
通过合理规划和建设,可以有效的发挥大模型技术在信息安全运营中的作用,提高企业网络安全和数据安全的整体水平和信息安全运营水准。
三、信息安全运营大模型的案例分享
案例一:自动拦截恶意攻击
集团采用某个业内知名的信息安全厂商的安全大模型技术,联动集团网侧、端侧、应用侧的安全设备,所有安全日志通过加密通道上传至云端进行分析。使运营中心与威胁情报中心相结合,监测网络流量,自动发现恶意攻击和风险事件,根据内置级别响应网络攻击和处置安全事件。经过一年多的使用,恶意攻击自动拦截率达到97%,每天处理安全日志9800万条。这种大模型+威胁情报的实时监测和处置体系可以有效帮助信息安全运营人员及时发现并处理安全事件,释放更多人力,降本增效明显。
案例二:自动拦截垃圾邮件
前期灌入大量的邮件数据,包括正常邮件和垃圾邮件,这些数据将用于训练模型。从预处理后的邮件数据中提取特征,这些特征可以是文本中的关键词、短语、句子结构等。大模型可以利用深度学习技术对邮件进行过滤,更精确的识别垃圾邮件、病毒邮件、商业邮件等并进行有效拦截。从而降低人工干预的需求,提高邮件系统的效率和用户体验。
案例三:自动输出信息安全运营报表
大模型自动输出信息安全运营报表是一种利用人工智能技术来提高信息安全运营效率和准确性的方法。自从上线安全大模型,我们通过其预研交互界面,可以基于数据生成各种类型的运营报表,如本周集团共拦截多少恶意攻击;有多少弱口令;哪些人违规访问外网;哪些用户密码即将过期等等。通过训练大模型来自动分析和整理信息安全运营数据,可以生成具有可读性和洞察力的报表,帮助安全团队更好地了解安全状况并做出决策
案例四:对安全工程师进行信息安全培训
通过安全大模型对安全工程进行信息安全教育培训在集团来说是一种创新的方法,大模型能够基于大量数据进行分析和预测,根据安全工程师下达的学习指令提供个性化的学习内容和反馈。如管理员输入“什么是勒索病毒?”,系统将自动反馈勒索病毒的历史和防御方法;“如何成为一名合格的信息安全运维工程师?”系统将自动反馈成为一名工程师应具备的知识、成长路径和相关认证等信息。通过这种学习体验,显著提高信息安全工程师的信息安全意识和技能水平。同时,通过数据分析和优化,未来可以将其用于全集团的信息安全意识培养,可以更好地了解员工的学习需求和偏好,为未来的培训提供更有针对性的支持和指导。
四、信息安全运营大模型的发展趋势分析
信息安全运营大模型的发展趋势可以从以下几个方面进行分析:
-
智能化与自动化:随着人工智能和机器学习技术的不断发展,信息安全运营大模型将越来越智能化和自动化。模型将能够更准确地识别威胁、预测攻击,并自动执行响应措施,从而降低人工干预的需求,提高运营效率。
-
集成化与协同化:信息安全运营大模型将与其他安全工具和系统进行更紧密的集成和协同工作。如SIEM、态势感知系统、防火墙、上网行为、负载均衡及用户行为分析等系统的集成,共同构建一个全面、高效的安全运营体系。
-
数据驱动:数据是信息安全运营大模型的核心。随着数据的不断积累和丰富,模型将能够更深入地分析威胁行为、攻击模式等,从而提供更准确的预测和响应。同时,数据的多样性和实时性也将对模型的效果产生重要影响。
-
持续学习与优化:信息安全运营大模型需要持续学习和优化,以适应不断变化的威胁环境。这包括对新威胁、新漏洞、新攻击手法的学习和适应,以及对模型自身的优化和调整,以提高预测和响应的准确性。
-
合规性与隐私保护:在信息安全领域,合规性和隐私保护至关重要。信息安全运营大模型需要在满足相关法律法规和隐私政策的前提下进行开发和应用,确保用户数据的安全性和隐私性。
-
云服务与边缘计算:随着云计算和边缘计算的发展,信息安全运营大模型将更多地部署在云端或边缘端。这将有助于提高模型的可用性和可扩展性,同时降低运营成本。
五、结束语
通过文章简单的实践分享,可以看到大模型技术的引入提高了信息安全运营工作的效率,降低了人工误判的概率。作为信息安全运营的辅助利器,与安全情报紧密结合,可以有效的抵御攻击、追根溯源,逐步实现信息安全主动运营的目标。由于篇幅原因,通过3个案例的分享希望可以帮助大家了解大模型和合理使用大模型的重要性,发挥安全大模型的好处提高信息安全趋势预测和决策的精度,降本增效。
然而,也需要注意到,大模型的开发和维护需要大量的资源和资金投入,而且需要更多的数据和算法支持。因此,在利用大模型技术时,企业需要仔细评估其成本和收益,确保能够实现合理的投资回报,不要为了大模型而大模型。
