未来的安全运营,属于“懂AI的安全团队”,而非“卖AI的安全厂商”。
从2023年开始,微软的Security Copilot开始用大模型介入安全运营,到2024年,国内多家头部安全厂商开始宣传自己的大模型产品,主要场景也是安全运营。但基本都是基于开源模型,由于模型能力的限制,运营能力一直不太理想。
年初Deepseek爆火,目前已经有几十家安全公司官宣接入了Deepseek。
那么Deepseek是否就能解决安全运营里的问题?这个需要分析一下。
什么是安全运营
安全运营(Security Operations)是组织通过人员、流程和技术的协同,持续监控、分析、响应安全威胁,以保护数字资产和业务连续性的系统性工程。其核心目标可概括为三点:
- 预防风险:通过漏洞管理等风险控制、访问控制减少攻击面;
- 快速响应:在攻击发生时快速定位威胁、遏制损失;
- 支撑业务:确保安全措施不影响业务正常运转。
可以说,安全运营是一个非常全面的工作,目前企业里,所有安全设备及软件,都是安全运营的一部分。
NIST有一个IPDRR的框架,用于指导安全运营的工作,其主要内容包括风险识别,保护措施,检测,响应,恢复五类,可以说,安全运营是一个非常复杂的工作。
Deepseek能做什么?
所有的安全设备和软件,都有UI和安全运营团队交互,所有的工作,可以分成两大类,一个是对系统的配置,收集数据的动作,第二个是对数据的分析及做出响应。这两类动作,要求安全团队具备丰富的经验和数据分析能力。
举个例子:
以一条IDS(NDR)告警为例,如果要判断这条告警是否造成具体损害,除了这条告警,还要结合被攻击目标的信息来分析,如果目标是某台主机,要根据主机EDR的数据来判断,如果是个类似交换机的设备,要根据资产库里该设备的漏洞信息来判断,或者再结合情报,后续的数据流等。
以上分析是复杂的,同时由于设备、数据量巨大,导致安全团队的人员总是不足的。
大模型恰好同时具备安全经验和数据分析能力。所以,在大模型出现后,安全公司立即意识到这是个很好的结合机会,这就是诸多安全公司将大模型投入安全运营的原因。苦于之前的开源大模型能力不足,Deepseek象一根救命稻草,被抓住了。
实际上,在某些场景,只要大模型有准确接入数据的能力,对事件的分析和处理还是不错的。
问题
目前看,虽然所有的安全设备、软件都有UI,但这些UI更多是为人设计的,要接入大模型,更好的办法是通过Agent调用API或数据库。
海量的设备,不同的接口,会导致接入是个非常巨大的工作。
安全运营是个多步规划的工作,每个企业异构的环境,不同的架构设计,导致这个多步规划的工作在不同企业,有不同的方案,除了技术,还有对流程的依赖,这导致每个企业运营的方法不太一样。
Deepseek R1之前的大模型,规划能力都非常弱,很难自主完成任务,所以只能当助理使用。Deepseek R1的规划能力变得很强,但它也只能基于通用场景规划,而无法直接根据企业具体情况规划。就象再牛的安全专家,进入一个新企业也需要详细了解清楚安全体系架构,设备软件使用方法等,才有可能进入工作。Deepseek也一样,在不了解企业状态的时候,它无法进行工作规划。
如何解决这个问题,可能是模型的本地化微调,也可能是Agent里做外围的处理,目前还没看到准确的路径。
总结
Deepseek 的能力提升,会直接提升大模型在安全运营里的价值,很多场景会越来越多的用大模型。 大模型做运营,需要数据,异构的环境,海量的设备及软件,导致大模型接入系统很难很慢。有人说数据都集中收集了,但实际上集中收集的只是告警日志类数据,安全运营需要的数据远不止这些,比如资产数据,身份数据是运营基础,而这些数据,都在系统里,各家的系统还不一样。 大模型用于运营是个趋势,基于问题2,它很难产品化。所以,甲方想买一套运营系统直接用,会非常难。 综上,有实力的甲方要考虑定制系统,或者建立自己的大模型研发团队。 广告: 如果你是甲方,需要懂AI和安全的专家顾问,可以私信联系,本站有资源。 如果你是专家,想做顾问,也请私信或者留言,加入资源池。
END
关联阅读
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...