常規模式下的安全運營建設是否真正達到預期效果?
深信服的觀點是沒有,甚至是,效果遠低于投入。
我們發現,盡管不少頭部用戶已經構建體系化安全建設,面對有組織的勒索、數據竊取、釣魚等高對抗威脅時,往往難以第一時間發現和應對。近兩年,“跑不贏攻擊者”的情況屢見不鮮,用戶安全團隊總是陷入被動防御的怪圈。
究其原因,雖然這套安全運營方案以安全大數據為核心底座,匯集了不同安全設備的海量告警和日志,但僅依靠規則、情報、機器學習小模型為數據挖掘和分析內核,沒辦法有效利用起這些安全大數據,因此無法深度分析海量告警,更難以快速、精準定位重要威脅。
其次,維持和運轉這一套平臺,成本的投入也遠超用戶預期。告警研判要投人,規則維護要投人,新增組件接入要投人,哪都需要重度的人力投入。之前就有多個用戶向我們反饋:建設平臺近千萬,運營平臺每年還得花100-200百萬在服務維護上,仿佛陷入“堆人燒錢撐效果”的怪圈。
我們不禁思考:隨著數字化轉型加速推進,現階段基于大量用戶已有安全運營建設,我們該如何改變“游戲規則”,帶領用戶“逃離怪圈”?
從「以人為主」向「人機共智」
以AI為核心構建新范式
在安全運營建設中,我們常說要關注“人員、流程、平臺”三個要素,并看到大量的能源、金融、政府、大企業用戶,的確圍繞態勢感知平臺、安全運營平臺等,并結合供應商和內部員工的安全運營人員隊伍,構建了一整套運營流程。
但我們可以發現,這種安全建設模式高度依賴于人,人是效果的天花板,亦是組織的投入短板。
深信服認為,這恰恰是大模型技術應用的重要切入點——用大模型釋放人的精力,用大模型承載人的研判分析邏輯,乃至超越人的能力、精力和成本瓶頸。
2023年5月,深信服于國內首發安全GPT,其中運營大模型展示了安全GPT通過自然語言對話輔助運營人員開展日常工作,承載超80%的分析排查工作。
僅過了4個月,深信服發布了安全GPT 2.0,實現了安全運營“智能駕駛”——安全GPT化身虛擬安全專家,坐鎮用戶現場自主值守,運營人員1人即可守護數萬資產。
深信服認為,安全GPT作為出謀劃策、發號施令的大腦,離不開健全的軀干與四肢。而軀干就是開放的XDR平臺,四肢就是各類型、各廠商網絡、終端、服務器安全組件。
組件產生的日志、告警,匯聚到開放的XDR平臺之上,安全GPT通過平臺讀取和處理安全大數據,研判理解之后再用自然語言和安全人員進行高效交互。同時,研判結果也可以通過安全GPT,經過開放平臺下發至組件。
這就是深信服為用戶構建的一套安全新范式——以AI為內核的“開放平臺+領先組件+云端服務”。
安全GPT+XDR雙擎
夯實安全運營效果底座
當前,安全GPT運營大模型已上線100+用戶,覆蓋金融、能源、政府等各行業。在安全GPT的加持下,用戶安全運營工作夯實了“效果”底座,收獲了一波“口碑”:
輔助駕駛:自然語言對話式運營,承載超80%的分析排查工作
“這個能力讓小白也能做實戰值守”
安全GPT告警Payload解讀能力達到5年以上高級專家水平,被用戶高頻使用,用戶評價“這個能力讓小白也能做實戰值守”。
“一句話統計數據和排查篩選實現工作效率飛躍”
相比傳統平臺中查詢檢索的方式,資產、漏洞、告警的統計排查和篩選極大提升工作效率,同樣被用戶高頻使用。
“對于網絡安全垂直領域的知識解讀更精準”
相較于搜索引擎與通用大模型,更加深度理解網絡安全知識,提供更貼合用戶使用場景的安全百科知識解讀。
智能駕駛:安全運營自主值守,1人即可守護數萬資產
“讓運營人員在廣度和深度上都能做全局把控”
在廣度上,運營人員1人即可守護數萬資產,每天只需關注安全GPT逐一研判后定位的日均10+條高危告警,準確度超過97%。在深度上,安全GPT對任意一條告警都可解釋,直觀呈現完整分析過程,幫助運營人員更好理解攻擊意圖、完成研判決策。
“3個1分鐘,極大降低MTTD/MTTR”
針對每一條告警,安全GPT提供詳盡的自主思維鏈研判結果,運營人員進行簡單的追問和處置動作,即可實現1分鐘事件解讀、1分鐘分析確認、1分鐘響應處置,極大降低MTTD/MTTR,實現更快的威脅發現、處置閉環。
“直接減少對應人員成本投入”
以往組織單位需要每年投入10*20萬元/人的成本進行實戰值守,現在通過安全GPT即可直接減少對應人員成本支出。
改變安全運營「游戲規則」
安全GPT未來已來
猶如傳統燃油汽車進化到新能源智能汽車,安全運營工作在技術創新中不斷升級進化。
安全GPT變革了安全運營的舊面貌,擺脫以人為主的傳統模式,讓晝夜不停的工作放心交給機器,突破安全運營“降本增效”的技術瓶頸,讓AI技術真正成為乃至超越人類專家。
我們相信,改變安全運營“游戲規則”,安全GPT未來已來。
帶著如此堅定的信念,接下來,我們將持續訓練優化安全GPT,以更智能的方式對抗不同威脅場景。
