首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

智能安全运营技术内涵和大数据挖掘挑战之讨论

智能安全运营(AISecOps)由 AISec、SecOps、AIOps三大核心技术能力组成。人工智能与网络安全(AISec)的技术融合给行业带来了新的期盼。无论是安全的AI,还是AI的安全应用,都已成为学术界和工业界的热点话题。AI技术在诸多单点安全技术和指定场景中,如恶意软件分类、恶意流量识别、入侵检测等,已取得不错的应用效果。IT智能运维(AIOps)亦是整个互联网、智能计算领域的研究热点。该技术方向重点关注复杂IT系统环境的异常检测、根因定位、告警分诊等关键技术。不过,IT运维不同于安全运营,缺乏对网络威胁、脆弱性、资产等核心风险要素的系统化建模,相关技术经验难以直接复用到安全运营场景中。

安全运营大数据挖掘的挑战

从本质上来讲,大规模安全运营数据分析的困难来自于攻守的不平衡性。常态化安全运营的目标是在合理的投入产出比下,持续地监控并降低企业和组织的系统化安全风险。能够在态势大屏上展现出来的威胁趋势,很难适用于高隐匿性、低频的高级威胁的狩猎任务。从网络安全运营关键实用性的角度,总结如下安全运营大数据带来的关键技术挑战。

数据接入:数据膨胀与系统瓶颈。数据的采集、传输、存储等,给算力、网络、数据库等各个系统环节带来了巨大的压力。其衍生后果就是,许多采集能力被禁用,大量数据在预设的价值判断策略下被提前丢弃,这可能导致威胁线索和证据链的时效。

数据融合:多源异构与本体建模。现阶段欠设计、低耦合、低交互的数据集成所造成的的数据爆炸的现状,难以提供高质量的融合数据基础。多源多维数据规范化、本体化、体系化,数据始终是智能分析技术的基石。当前,各类不同厂商的网络安全设备执行不同的数据命名、标注策略,亟须在统一的语义下实现数据接口的统一规范化,以实现低成本的数据集成与交互。

线索发现:召回模型与高误报率。数据驱动的威胁线索识别,仍然逃不出误报率高的数据魔咒。以ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)驱动的行为分析为例,该矩阵中的大部分攻击技术抽象都是召回策略驱动的。ATT&CK的关键目标在于覆盖和召回,而从安全运营的视角来看,在事件规模膨胀的现状下,误报率是一个非常关键的有效性衡量指标。一项针对赛门铁克终端告警的分析表明,由34台机器触发的58096条告警中,与检测目标APT29行为相关的真实告警只有1104条,告警的精度只有1.9%。大规模误报告警带来的误报疲劳,会持续降低整个安全运营团队的运转效率。

智能安全运营的技术内涵

安全运营(SecOps)作为场景与目标,主要由流程、人和技术三个核心要素构成。传统安全运营的技术能力主要由安全专家提供,例如告警分类分级、威胁狩猎、样本分析、威胁溯源等。然而,基于安全专家的运营能力与快速膨胀的防护需求之间,已逐渐形成巨大的“剪刀差”,安全人才的缺 口与瓶颈日趋严峻。因此,探索智能安全运营技术方案迫在眉睫。

AISecOps并不是简单的AISec、SecOps 和 AIOps 技术能力的加和。人工智能赋能应用场景的有效性,一方面取决于人工智能技术自身的发展水平,另一方面更决定于人工智能技术与相关应用场景在核心目标、体系架构、功能需求、数据模型等多方面的融合程度,即智能化是手段,而不是目标。

AISecOps技术是以安全运营目标为导向,以人、流程、技术与数据的融合为基础,面向预防、检测、响应、预测、恢复等网络安全风险控制、攻防对抗的关键环节,构建数据驱动的、具有高自动化水平的可信任安全智能技术栈,实现安全智能范畴下的感知、认知、决策、行动能力,辅助甚至代替人在动态环境下完成各类安全运营服务。

不同于AISec实践中智能化技术与安全领域的单点结合,智能安全运营是在核心运营指标的导向下,系统、深入、多维地融合智能化技术方案,以适应安全运营不同阶段、不同任务场景的应用需求。这对传统人工智能技术的鲁棒性、可信性、安全性提出了全新的要求。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20210203A0FV4U00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券