积极拥抱安全大模型。最终客户应该关注安全大模型与安全运营中心融合的趋势,积极尝试采用先进技术以应对黑产的高级攻击。
大模型赋能安全运营是否成功关键在于告警关联、用户和实体行为分析、编写检测规则、引导调查、自动运行和实施剧本等方面的能力,这些需要在POC过程中进行逐一验证。
关注易用性。大模型与安全运营中心融合,易用性对于使用者非常重要,例如,输入Prompt指令后,大模型可以自动化进行分析、处置,执行剧本。同时,处置方面,可以根据需要,自动生成安全策略(在界面中要有清晰的体现),而无需人为手工添加。管理员可以最终判断是否执行这些自动生成的安全策略。另外,工作流程逻辑是否合理,界面展现是否清晰易懂也需要考量。
关注算力资源投入。大模型的训练及推理需要大量的算力资源投入,在算力资源紧缺的当下,这些资源是能否构建一个优质的安全大模型的基础。
关注人才资源。包括AI工程实践经验,专业的网络安全经验对于高效的安全大模型都是至关重要的。
关注是否具备准确和全面的语料。安全语料可以包括整体安全态势、攻击和漏洞的描述、检测技术、防御技术、响应流程方法等准确的信息。源源不断的海量、高质量安全语料是构建安全大模型的基础,也是关键要素。另外,良好的日志兼容性很重要,这有助于获取高质量的数据进行训练,从而获得更好的分析结果。
关注服务能力。强大的服务能力可以弥补客户人才资源不足的问题,也有利于企业自身获得长期专业的支持。必须做到专业人员的跟踪服务,确保大语言模型产生的报警、分析、建议是准确和全面的。尤其在融合大模型后,安全运营平台上线初期,需要网络安全组织和公司较大的服务投入。