从XDR到AI XDR,安全智能体“雏形”已现
安全行业已经从“卖产品”,走向“卖服务”。——这已经成为了安全行业的共识。一方面,企业步入“深度用云”的时代;另一方面,当大模型结束了开源、闭源之争,开源大模型“一统江湖”。在此基础上,企业已经不能依靠简单的产品堆叠来确保安全,而是需要一个场景化、体系化、实战化、平台化的安全策略。
中国信息通信研究院副院长、网络安全卓越验证示范中心名誉主任魏亮表示,安全应用是核心,既要关注对不同安全能力的关联整合,也能以攻促防提升安全检测能力。
安全挑战频出
大模型就像一把双刃剑,在带给我们便捷的同时,也给网络攻击者带来了更高效的攻击手段。对此,亚信安全人工智能实验室首席科学家杨婷表示,大模型技术的成熟,会给攻击者带来更为高效的,可以更精准针对现有业务系统,包括以大模型为核心的业务系统的攻击手段,企业面临的风险也会随之提升不少。
据SUSE统计,隐私和数据安全(57%)以及人工智能驱动的网络攻击(55%)是生成式AI云安全的首要问题,只有7%的IT决策者认为不存在相关安全风险。
另一方面,Gartner预测,到2025年,生成式AI的采用将导致企业机构所需的网络安全资源激增,使应用和数据安全支出增加15%以上。
显然,AI大模型的火爆也为当下的云安全带来了更多的挑战。首先,攻击目标和范围变大。AI大模型驱动的智能化时代,围绕数据产生的交互和分析行为会越来越普遍,这将进一步扩大企业风险面的暴露面,动态的数据流转和使用,需要更加完善的防护手段。
其次,攻击密度增加。攻击的成本和门槛下降之后,其攻击的频次、密度会大幅提升,以前的攻守节奏可能是回合制的,防守方还有一天或者一周的时间调整安全策略;但大模型加持下,黑客会让攻防变成“即时战略”的对抗,企业的反应时间窗口将被迫缩短至小时级,甚至分钟级。
第三,模拟“机器”和“人”的精度提升。黑灰产利用AI提升模拟真实用户行为的效率,企业难以辨别,例如在黄牛党抢票、金融信贷欺诈等。
第四,攻击特征超越企业“情报库”。企业安全建设往往依赖于安全情报库,以记录经常“干坏事”的恶意IP和异常流量特征。当黑客利用生成式AI实时变换大量的行为特征时,传统静态情报库将逐渐失去防护价值。
从安全运营到XDR,再到AI XDR
在外界复杂度不断提升的安全挑战面前,企业级安全理念、产品的迭代速度也随之提升,企业对于网络安全防护措施的需求也在随之变化,这其中最明显的一点就是—从原先简单的安全产品的堆叠,向着统一平台化的解决方案的需求方向演进。对此,安全行业专家曾对笔者表示,传统上,企业倾向于采购业内最好的单点产品,以应对具体安全问题,并期望通过不同供应商优秀产品的叠加组合,来覆盖安全需求的各个层面。
在此背景下,企业逐渐意识到,“堆叠”式安全单品难以应对日益复杂的网络威胁,用户开始逐渐希望能够整合多种安全功能于统一的平台的方案,增强威胁检测与响应能力,降低管理复杂度,提升安全运营效率。而安全运营的理念也就在这个节点应运而生。
从概念上看,安全运营是指利用安全产品或安全服务等提升企业信息安全能力的一系列管理过程,包括对安全产品或安全服务的需求、设计、运行、监控、改进等。这一过程通过运营已经部署的安全产品,让各类安全措施充分发挥其应有的防护效力。它不仅仅关注单个安全产品的性能,而是从系统化的角度,对企业整体安全进行运营管理。
不过随着企业用云深度的提升,传统的安全运营理念已经不足以确保企业的网络安全,基于此,亚信安全曾在2018年首次提出了XDR的理念,并于2019年下半年发布XDR 1.0,提出了“安全可感知,威胁可运营”的产品理念。。
XDR是网络安全领域的新型解决方案,旨在通过整合多源安全数据、智能化分析和自动化响应,实现跨域威胁的全局检测与闭环处置。其核心理念是打破传统单点安全产品的“孤岛效应”,构建统一的安全运营体系。根据Gartner的定义,XDR是一种基于SaaS的、供应商绑定的安全平台,能够将终端、网络、云环境、邮件等异构数据统一整合,通过关联分析与自动化编排提升威胁检测效率。
总体来看XDR具备覆盖云网边端的多维度数据源,并整合了整合EDR(端点检测与响应)、NDR(网络检测与响应)等单点能力,形成协同防御体系。在技术层面,XDR充分依靠依赖AI和机器学习技术实现威胁识别与响应自动化。
随着AI大模型的快速发展,XDR也需要升级换代,才能更好地确保企业的网络安全,在亚信安全高级副总裁、CDO吴湘宁看来,唯有体系化防御,才能借助AI对抗AI,才能在压制攻击方的效率、削弱攻击效果的同时,提升企业安全系统的防御效果。
在今年的亚信安全C3安全大会期间,亚信安全就发布了全新一代的体系化网络安全产品——亚信联动防御系统(AI XDR),基于此,吴湘宁表示,整个网络安全的防御体系必须通过智能、联动、体系化来完成。“AI XDR联动防御系统的核心价值正是通过一体化交付,通过安全平台与产品之间的协同,去解决一个个网络安全相关的威胁场景和问题。”吴湘宁进一步指出。
谈及XDR与AI XDR的区别时,吴湘宁表示,传统的XDR更像是数据采集平台,通过平台进行安全产品的“联动”,但在运行的过程中,并没有真正实现智能统筹等智能化等能力,比如,传统XDR无法实现从数据收集、分析,再到研判等环节的智能联动的效果,也无法高效的进行命令处理或多产品间的协同防御,“而AI XDR则是亚信安全为了转向与自身产品深度融合,并针对特定的行为、特定场景,具备智能统筹能力的产物。”吴湘宁进一步指出,“AI XDR更像是一个产品联动的大脑,而各个安全产品就变成了一个个‘原子能力’,通过这个大脑统一管理、统一调度,并为企业安全人员智能推荐处理方式。”
安全智能体雏形已现
从吴湘宁对于AI XDR的描述,让笔者看到了智能体的影子。
亚信安全人工智能实验室首席科学家杨婷也向笔者证明了这个想法,她表示,亚信联动防御系统(AI XDR)已经具备多智能体的能力,包含:AI威胁溯源智能体、AI威胁检测智能体、AI智能研判和降噪智能体等。AI XDR负责人还向笔者表示,AI XDR具备了AI威胁推理分析引擎、AI智能联动响应处置、AI安全基线威胁感知引擎、AI驱动实践调查追溯等核心能力。
具体来看,在AI威胁情报方面,AI XDR可以高效的分析恶意文件,自动化形成高质量威胁情报,并且基于场景化攻击行为建模分析,实现AI威胁推理分析,“AI威胁推理分析引擎依赖于攻击行为,而非攻击的漏洞特征,可以精准识别各类0day、nday漏洞攻击行为。”AI XDR项目负责人强调。
在AI威胁检测方面,AI XDR能更有效的针对攻击进行高效的检测,检测更加精准,误报率更是大幅降低,漏报率也明显降低,除此之外,杨婷告诉笔者,未来,亚信安全将会进一步加强在AI XDR在AI威胁检测方面的能力。
除此之外,作为智能体能力的体现,AI XDR还需要集合大模型的基本能力,为此,亚信安全推出的AI XDR集合了亚信安全自主研发的“信立方”和“信智方”两款安全大模型产品,通过AI XDR平台可以自由调用、部署两款大模型产品。对于具体应用效果而言,亚信安全发言人表示,通过AI XDR实现威胁检测和告警降噪场景为例,目前我们已经可以将安全运营人员的工作量降低90%以上。
