专栏首页绿盟科技研究通讯AISecOps白皮书精华解读之背景内涵篇

AISecOps白皮书精华解读之背景内涵篇

网络空间敌暗我明,大规模、多维度的数据挖掘在赋能安全防御能力的同时,给安全运营团队带来了前所未有的挑战。因此,在安全大数据涌现与高级威胁对抗的大背景下,研究安全运营的智能化技术,对提升安全运营能力的自动化水平,减少对人力投入与专家经验的依赖,降低威胁分析与响应的周期,有着至关重要的作用。

本文为《AISecOps智能安全运营技术白皮书》精华解读第一篇,将重点介绍智能安全运营的发展背景、关键技术挑战与AISecOps技术内涵。

一、安全运营发展背景与趋势

图1安全运营技术发展趋势

对风险的认知的演进,决定了安全运营认知的方向。整体来看,安全运营技术和产业经历了单点攻防、边界防御、安全运营中心的发展历程,并最终向运营智能化的方向持续演进。

安全运营智能化趋势已成为必然。安全运营团队,是支撑安全运营中心化运作的核心。安全运营的萌芽、发展与成熟,映射出的是背后人与人对抗的认知与技术升级。然而,随着网络空间对抗关联的流程链路的增长、数据规模爆炸、技术复杂度提升,人力资源与风险识管控的目标要求之间,逐渐形成巨大的需求剪刀差。这种数字化时代的关键特征,倒逼网络安全运营突破依赖安全专家的传统“人工”阶段。提升安全运营技术与流程的自动化、智能化水平,已成为网络安全风险治理与防控的必备条件。智能赋能运营,是数字化时代运营即服务的基础保障。

二、智能安全运营的挑战

本质上,安全运营中大规模数据分析的困难来自于攻守的不平衡性。在真实的网络空间中,敌暗而我明,智能安全运营需要大规模地采集多维度的数据进行分析,但处理海量数据给安全运营团队带来了前所未有的挑战,如依赖爆炸、告警疲劳、大海捞针(威胁)等难题,都可能是整个运营团队的梦魇。除此之外,技术瓶颈,专业人才匮乏,流程低可操作性等问题,都将降低安全运营的有效性。如图2所示,是基于终端溯源数据的威胁分析系统框架,包含诸多数据处理、分析模块。安全运营中大数据带来的关键技术挑战,简要概括如下几点。

图2智能安全运营技术的多个关键挑战

  • 数据接入:数据膨胀与系统瓶颈。安全运营数据呈现爆炸式增长,给网络、存储、处理等系统造成前所未有的性能压力。
  • 数据融合:多源异构与本体建模。多源、多维数据仍然缺乏统一的图模型设计,亟需通过本体化、标准化形成可联动的数据视图。
  • 线索发现:召回模型与高误报率。如异常检测等模型,以关键特征或模式召回网络威胁事件,缺乏上下文支撑,导致误报率居高不下。
  • 事件推理:语义模糊与依赖爆炸。数据驱动的分析方法往往缺乏对安全语义的建模,也缺乏对数据依赖中的因果关系分析。
  • 人机协同:黑盒模型与低质交互。不透明的复杂模型与低交互,甚至无交互的运营平台,加剧了安全运营中人机协同的有效性。
  • 智能引擎:攻击失效与数据风险。越来越多的攻击开始针对智能模型,需要提升模型的安全能鲁棒性,并保证模型数据不被窃取。

三、AISecOps核心内涵

从基本的词语组合来看,AISecOps由AISec,SecOps,AIOps三大核心技术组成。

人工智能安全(AISec)的技术融合给行业带来了新的期盼。无论是AI自身安全还是基于AI的安全应用,都已成为学术界和工业界的热点话题。AI技术在诸多单点安全技术和指定场景中,如恶意软件分类、恶意流量识别、入侵检测等,已取得不错的应用效果。

IT智能运维(AIOps)亦是整个互联网、智能计算领域的研究热点。该技术方向重点关注复杂IT系统环境的异常检测、根因定位、告警分诊等关键技术。不过,IT运维不同于安全运营,缺乏对网络威胁、脆弱性、资产等核心风险要素与安全对抗的系统化建模,相关技术经验难以直接复用到安全运营场景中。

最后,安全运营(SecOps)作为应用场景与目标,主要由流程、人和技术三个核心要素构成。传统安全运营的技术能力主要由安全专家提供,例如告警分类分级、威胁狩猎、样本分析、威胁溯源等等。

图3AISecOps核心技术能力拆解

白皮书归纳了智能安全运营的核心内涵,以明确技术实现与发展的范畴:

“AISecOps技术是以安全运营目标为导向,以人、流程、技术与数据的融合为基础,面向预防、检测、响应、预测、恢复等网络安全风险管控、攻防对抗的关键环节,构建数据驱动的、具有高自动化水平的可信任安全智能技术栈,实现安全智能范畴下的感知、认知、决策、行动能力,辅助甚至代替人在动态环境下完成各类安全运营服务。”

相比于AISec,AISecOps更强调面向安全运营的核心指标与评估方法;相比于AIOps,AISecOps更强调攻防对抗的动态性;相比于SecOps,AISecOps更强调数据驱动与智能驱动的方法赋能。AISecOps智能安全运营是在核心运营指标的导向下,系统、深入的融合智能化技术方案,以适应安全运营不同阶段、不同任务场景的应用需求,提升运营全流程的自动化水平。

AISecOps技术核心内涵的提出,厘清了智能安全运营技术与传统安全智能、运维智能技术之间的关系。后续精华解读,将陆续带来AISecOps技术体系、关键技术与发展趋势等,敬请期待。

更多内容详情,请参考:

《AISecOps智能安全运营技术白皮书》

《AISecOps:智能安全运营技术发展思考》(《中国计算机学会通讯》:

https://dl.ccf.org.cn/institude/institudeDetail?_ack=1&id=5187981007816704)

为了获取更多内容,点“阅读原文”获取《AISecOps智能安全运营技术白皮书》完整版

关于天枢实验室

天枢实验室聚焦安全数据、AI攻防等方面研究,以期在“数据智能”领域获得突破。

内容编辑:天枢实验室 张润滋 责任编辑:王星凯

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。

本文分享自微信公众号 - 绿盟科技研究通讯(nsfocus_research),作者:天枢实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-01-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • AISecOps:打造可信任安全智能

    随着数据的积累,算力的提升,人工智能技术的演进,语音、图像、文本处理等应用场景自动化程度大幅提升,也让我们看到安全能力向着更高水平的自动化演进的曙光。技术平台的...

    绿盟科技研究通讯
  • 加密恶意流量优秀检测思路分享

    近年来,随着机器学习、深度学习等人工智能技术的迅猛发展,其在图像识别、语音识别和自然语言处理等领域已经得到大规模应用,可以为传统方法很难解决或无法适用的问题提供...

    绿盟科技研究通讯
  • 知识图谱技术如何赋能智能安全运营

    随着全球数字经济的蓬勃发展,网络安全与物联网、工业互联网、云计算、5G 等多种场景和技术的融合极大地改变了网络安全防护体系。如何打造智能化的网络安全防护成为了学...

    绿盟科技研究通讯
  • 腾讯安全运营中心正式上线,打造公有云安全管理“智能操作台”

    随着产业互联网时代的到来,企业上云已经成了一阵不可逆的大趋势。其中,更多的企业选择公有云作为其承载业务的平台。

    腾讯安全
  • 直击RSA2017现场热点 观网络安全四大发展趋势

    (转自新华网。原题:直击RSA2017现场热点 国舜预测网络安全四大发展趋势) 信息安全峰会RSA Conference日前在美国旧金山闭幕。2017网络安全发...

    安恒信息
  • 安全从业人员的职业规划

    工作日久,会接到一些朋友关于专业就业、职业规划的问题。自从开通“君哥的体历”以来,也会收到后台留言,提及职业规划,以及有关工作迷茫的问题。

    信安之路
  • 韩锴:《技术雷达之构筑软件安全DNA 》

    作为一家服务于全球不同类型客户的IT专业服务公司,ThoughtWorks一直追求最卓越的技术,并用它们来解决客户实际的问题。而为了体现技术卓越,Thought...

    ThoughtWorks
  • Ultimate Facebook Messenger for Business Guide (Updated: Feb 2019)

    Ultimate Facebook Messenger for Business Guide (Updated: Feb 2019)

    Spanz
  • 以安全规划助力CISO建设新安全体系

    目前,大多数企业并没有制定明确的网络安全战略。过去十多年,这些企业将主要精力用于保护网络边界,并认为通过边界隔离就能够抵御入侵:比如部署防火墙和入侵检测与防御系...

    网络安全观
  • 【小家java】静态类、静态方法、内部类、匿名内部类、非静态类的一些实践

    静态内部类的作用:只是为了降低包的深度,方便类的使用,实现高内聚。静态内部类适用于不依赖于外部类,不用使用外在类的非静态属性和方法,只是为了方便管理类结构而定义...

    YourBatman

扫码关注云+社区

领取腾讯云代金券