大模型加速走向真运营
如果无法正常显示,请先停止浏览器的去广告插件。
1. 大模型加速走向真运营
安恒信息 / 梁浩
2.
3. 目录
Content
01 安全运营的现状分析
02 大模型如何改变安全运营现状
03 大模型应用效果总结
4. 01
安全运营的现状分析
5. 安全运营普遍需求
安全合规建设
落实网络安全监测预警和通报制
日常运营支撑
识别、评估和管理所面临的安全
重大活动保障
安全工作协同
在一些重大节日或重要活动等时间 针对行业应用系统或数据资源开展
度,建立健全网络安全风险评估和 风险,并采取必要的措施并采取必 节点,能够7×24小时全天候安全 常态化安全监测,感知网络安全态
应急机制,有效识别和消除安全隐 要的措施来降低风险。通过网络安 值守,事前查漏补缺,补齐安全短 势,结合最新情报快速通报预警,
患,落实管理和技术举措,保障安 全运维,防范各种网络安全威胁, 板,事中实时监测,快速研判分 形成行业联防联控网络安全风险能
全策略动态有效性、满足安全合规 确保网络的安全性和可用性,使网 析,事后启动应急消除事件影响, 力,整体提升行业网络安全保障水
需求。 络系统的安全性得到持续维护和提 实战化要求越来越高。 平。
升。
6. 传统SIEM平台的困境
数据量激增
威胁情报集成不足
随着企业信息化程度的提升,日志、告警等安
全数据呈指数级增长,传统SIEM系统的数据
处理能力已难以应对。
数据类型多样化
除了结构化数据,非结构化数据(如文本、图
片、视频等)在安全分析中的价值日益凸显,而
传统SIEM系统对此类数据的处理能力有限。
实时处理需求
面对高级威胁和零日漏洞,实时数据处理
能力至关重要,传统SIEM系统在这方面存
在明显不足。
数据处理能力有瓶颈
面临的挑战
与局限性
传统SIEM系统在整合外部威胁情报方面能
力有限,导致无法及时识别新型威胁。
检测规则僵化
基于预设规则的检测方式无法应对不断变化
的威胁手法,导致漏报和误报率居高不下。
响应速度慢
由于缺乏自动化响应机制,传统SIEM系
统在发现威胁后往往需要人工介入,延
误了最佳响应时机。
威胁检测与响应有滞后性
7. 运营现状:精准检测,牺牲全面性
关注和响应高质量、高风险和高确定性告警!
检测全
分析准
威胁检测覆盖度与依赖人
工的分析能力难两全
现实情况:高级威胁(或针对性攻击)所采用的技术,如
攻击特征隐藏/特征消除、无代码攻击、白利用、加密通
信等,具有隐蔽性增强、潜伏周期长的特点,想要实现精
准检测很困难,通常会产生大量异常/可疑类的行为特
征、统计特征告警(如ueba、时间序列异常检测、加密
通信算法检测等告警),在精准检测以求降噪和降低告警
分析工作量的场景下,不得不降低或关闭此类泛化的弱信
号检测,造成高级威胁漏报。
8. 运营现状:全面检测,牺牲准确性
关注覆盖更多的攻击技战术!
检测全
分析准
威胁检测覆盖度与依赖人
工的分析能力难两全
现实情况:
• 有经验的分析师1天能分析多少告警?
• 有经验的分析师是否整天都在分析告警?
• 有经验的分析师是否一直愿意分析告警?
一个"典型的"中型企业每日告警量:针对已知威胁1k - 10k告
警,针对未知威胁10k - 100k告警。在这海量告警中,有明显特
征的告警:至少需要分析师“看一眼” -> 核查误报,打标结
果,提交处置;无明显特征的告警:更需要借助工具(如
splunk)做多步详细调查(统计、聚合、趋势分析、上下文挖
掘、情报分析和验证等)-> 规避漏报,识别风险,远程取证。
9. 真运营目标:全面检测,精准检测
需响应
事件
运
原始安全事件
高置信告警
原始告警
调查
聚合
研判
检测
日志
数据源
安全大数据 -> 事件小数据的逐层精炼工程
观测
10. 02
大模型如何改变安全运营现状
11. 真运营的希望:大模型
生成式AI应用级别
L1 Tool
描述
示例
人类完成所有工作,没有任何明显的AI辅助 绝大部分应用
人类直接完成绝大部分工作。人类向AI询问意见,了解信息。AI提供信息和建议但不直
接处理工作 初代ChatGPT
L3 Copilot 人类和AI进行写作,工作量相当。AI根据人类要求完成工作初稿,人类进行目标设定,
修改调整,最后确认 Github Copilot
Midjourney
ChatGPT with
Plugin
L4 Agent AI完成绝大部分工作,人类负责设定目标、提供资源和监督结果。AI完成任务拆分,工
具选择,进度控制,实现目标后自助结束工作 AutoGPT
完全无需人类监督,AI自主拆解目标,寻找资源,选择并使用工具,完成全部工作,人
类只需给出初始目标 类 冯·诺依曼机
器人
或者......人?
L2 Chatbot
L5 Intelligence
AI最终目的是释放人
12. 技术目标:AI原生应用
现有平台业务整合,对外一个平台 产品设计-思考AI 从简单使用AI到AI原生
围绕运营体系集成基础产品能力 数据利用-知识驱动 数据与知识生态驱动
模块化控制业务,提供方案灵活性
与MSS统一,沉淀全公司运营体系
工程目标
AI原生
安全运营平台
规则到思考-客户环境自适应
智能化-自动化
AI目标
13. 技术架构:大模型作为核心引擎
14. 大模型擅长做什么
内容安全(天然匹配,识别恶意/有害/
敏感内容) -> 面相公众的信息发布审
核、内容风险治理
数据安全(非结构化数据的分析和处
理) -> 数据分级分类(数据安全的基
础)、API风险监测、DLP告警分析
攻击特征/代码识别(语义理解能力) -
> 基础安全方向的核心需求(威胁检测
+告警研判)
世界知识赋能(安全基础培训)
15. 大模型目前可以做什么
类比自动驾驶
L3,人机协
作
告警分析和解释:攻击特征分析、攻击代码解释、攻击过程还原
误报判断:DLP、社工钓鱼、业务风险等类型告警辅助判断
报告生成:安全事件分析报告,Summary能力
辅助规则生成与调优:辅助生成和优化各类规则和配置文件
16. 大模型不擅长做什么
特定问题处理的实操经验
01
例如,在处理失陷账号告警时,大模型可能无法准确判断告警的真实性,需要通过电话、钉钉、邮件等强身份联系方式进行二次确
认。
自我知识强化和持续学习
02
大模型本身的训练成本极高,无法根据用户的反馈和不同的环境条件进行输出,导致无法在客户现场快速适应达到
最佳效果。
大量结构化数据分析
03
在自然语言处理、推荐系统等领域,大模型需要处理大量结构化数据。然而,由于性能和成本的限制,大模型在这些场景下的应用
可能受到一定程度的制约。
04
海量数据处理
大模型在处理处理长上下文、海量数据时,受到token限制,性能和开销较高。在海量数据的处理模式下
对大模型提出了更高的要求。
05
复杂任务
大模型在处理复杂任务时,需要进行慢思考,即“let’s think step by step”。这是因为大模型在处理复杂任务时,需
要充分考虑各种因素,以确保得出正确的结论。
17. 工程实践:小参数、多智能体协作
18. 工程实践:小参数、多智能体协作
19. 工程实践:小参数、多智能体协作
安全运营团队的组织架构变化 - Agent员工化
任务分工与协作管理 安全运营主管/架构师-人类
安全运营团队-AI Agents+
任务认领与分解执行
人类
自动化调查 安全分析师-AI Agent
自动化响应 安全运维-AI Agent+人类
自动化预警和汇报 安全管家-AI Agent
自动化蓝军 安全蓝军-AI Agent
20. 工程实践:优化安全大数据 -> 事件小数据的逐层精炼工程
21. 03
大模型应用效果总结
22. 产品升级:智能化升级分析+响应+管理
23. 真运营:智能辅助,持续降低运营成本
24. 有人味:数字人互动讲解
25. 总结:大模型不是魔法,但有望实现真运营
产品名称
智能分析平台
智能响应平台
AI加持,能力提升
恒脑自动研判 调用恒脑研判分析能力,快速获取恶意、误报、未知等研判结果,并可以发起自动联动处置
恒脑辅助研判 半自动化研判手段,降低分析的门槛,提高研判分析的效率与准确性。
智能运营助手 提供智能巡检分析、日志智能解析、日志标准校验、告警类型映射、事件场景建设等能力。
智能检索 通过自然语言即可实现告警数据的检索。
智能联动 用户无需了解安全设备的技术细节和命令语法,通过自然语言即可完成相关操作,简化操作流程,提高效率。
智能沙箱分析
对话式问答
智能报告
快速分析得出报告安全结论
通过对话沟通和思维链提示,提供免费安全私人助手。
低代码开发,自动生成DIY安全报告。
智能管理平台
数字人
智能教育培训
人机协同,提供网络安全运营新颖形式。
强化网络安全意识,提供免费网络安全助教。
26.